Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Android BadKernel: Chińczycy „exploitują”, Europejczycy się dziwują ;-)
Chińczycy niecałe 2 miesiące temu opisali podatność w googlowym silniku JavaScript (V8), używanym choćby w komponencie WebView czy mobilnej wersji Chrome. Z racji że chińska wersja jest niezbyt medialna:
…podatności nadano bardziej swojską nazwę BadKernel.
Budowanie własnej przeglądarki czy aplikacji na bazie mobilnego Chrome czy WebView, bez udostępniania aktualizacji, jest bad, very bad… BadKernel umożliwia bowiem zdalne wykonanie kodu na telefonie po odwiedzeniu odpowiednio przygotowanej strony – czyli w najgorszej sytuacji przejęcie dostępu do mikrofonu, kamery, kontaktów, poczty – wszystkiego.
Wykorzystanie podatności też nie wydaje się zbytnio skomplikowane:
BadKernel flaw is trivial to exploit, just like Stagefright
Specjaliści z Trustlook szacują, że obecnie może być podatnych około 40% smartfonów Samsunga prawie tyle samo Huawei, niewiele mniej LG. Tutaj zresztą można sprawdzić czy nasz tablet czy smartfon jest podatny.
–Michał Sajdak
Świetny tytuł artykułu! :D