Google, Samsung i Amazon udostępniły już stosowne poprawki likwidujące zagrożenie, ale blisko 49,5% użytkowników posiadających urządzenia Android jest dalej podatnych na ataki wykorzystujące tę dziurę, chociaż Google informuje, że jak dotąd nie wykrył prób ataków, które wykorzystują te podatność.

Po tym gdy użytkownik zainstaluje na mobilnym urządzeniu złośliwą aplikację – wykorzystującą podatność znaną pod nazwą "Android Installer Hijacking" – haker uzyskuje pełny dostęp do urządzenia i ma możliwość odczytywania z niego poufnych informacji, takich jak nazwy użytkowników i hasła.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem

Firma Palo Alto Networks opracowała dwa eksploity, które wykorzystują dziurę. Malware zainstalowany na mobilnym urządzeniu może modyfikować i podmieniać tylko te aplikacje, zainstalowane na mobilnym urządzeniu, które zostały pobrane od niezależnych dostawców oprogramowania. Dlatego eksperci radzą, aby oprogramowanie pobierać zawsze tylko z tych źródeł, do których mamy zaufanie.

Złośliwa aplikacja pobierana od niezależnego dostawcy oprogramowania umieszcza swoje pliki instalacyjne APK w niechronionej pamięci masowej obsługującej mobilne urządzenie, takiej jak np. karta SD. Do akcji wkracza wtedy systemowy program PackageInstaller, która kończy instalację. Jeśli w urządzeniu znajduje się dziura, plik APK może zostać zmodyfikowany lub zamieniony na inny.

Atak może wyglądać tak: użytkownik pobiera aplikację, a ta uzyskuje od systemu Android zgodę na zainstalowanie. I to właśnie wtedy może ona zostać zmodyfikowana lub zamieniona na inną, ponieważ oprogramowanie PackageInstaller nie pracuje tak jak powinno i nie kontroluje tej operacji. Tak więc po kliknięciu przycisku “Instaluj” użytkownik nie zdaje sobie sprawy z tego, że zainstalował właśnie zupełnie inną, złośliwą aplikację.

Po odkryciu tego zagrożenia w styczniu 2014 roku, blisko 90% wszystkich urządzeń Android zawierało opisaną lukę. Obecnie jest lepiej, ale prawie co drugie urządzenie dalej nie zostało załatane i wciąż zawiera tę niebezpieczną dziurę.

Palo Alto Networks informuje, że znajduje się ona w następujących wersjach systemu Android: 2.3, 4.0.3 do 4.0.4, 4.1.x i 4.2.x. System Android 4.4 jest bezpieczny. Dziura może też być obecna w niektórych urządzeniach pracujących pod kontrolą systemu Android 4.3.

Google opublikował tutaj łatę likwidująca lukę, a Palo Alto Ntworks oferuje narzędzie, które sprawdza czy dane urządzenie Android jest podatne na takie ataki.