Rút hibát találtak a Foxconn androidos telefonjaiban
Root jogosultságot biztosító sebezhetőség bukkant fel a Foxconn által gyártott egyes androidos készülékekben. A hiba USB-n keresztül használható ki, arra a bűnözők mellett a törvényszéki szakértők is lecsaphatnak.
Ismét kritikus sebezhetőség fenyeget egyes androidos eszközöket, ezúttal a Foxconn gyártósorairól lekerült telefonokban bukkant fel akár root hozzáférést is lehetővé tevő biztonsági rés. A frissen felfedezett sérülékenységről Jon Sawyer biztonsági szakértő blogposztban számolt be, a hibát kihasználva az érintett készülékeken akár root jogosultság is szerezhető.
A "Pork Explosion" névre keresztelt sebezhetőség által jelentett veszélyt némileg enyhíti, hogy annak kiaknázásához a támadóknak fizikailag is hozzá kell férniük a kiszemelt eszközhöz, amelyet USB kapcsolaton keresztül vehetnek ostrom alá - a The Register által idézett Sawyer ugyanakkor ezzel együtt "komoly hanyagságról" beszél a Foxconn részéről. A sebezhetőség egy a gyártó bootloader-kódjában felejtett, debugging függvény eredménye, amelynek segítségével megkerülhető a SELinux Android biztonsági réteg, és teljes, root hozzáférés szerezhető a megcélzott telefonon, a felhasználó bármilyen azonosítása nélkül.
Miután kihasználásához aránylag hosszú ideig tartó fizikai hozzáférésre van szükség a készülékhez, nem is feltétlenül csak a bűnözők, de akár törvényszéki szakértők számára is hasznosnak bizonyulhat, akik segítségével értékes adatokat is szerezhetnek a gyanúsítottak telefonjáról - de a módszer a titkosítási kulcsok kinyeréséhez vagy a bootloader megnyitásához is bevethető, anélkül, hogy a felhasználói adatok sérülnének.
A biztonsági rés többek között a tavaly Kickstarteren elhíresült Nextbit Robin okostelefont érintette, legalábbis felfedezésekor, a készülék fejlesztőcsapata ugyanis nagyjából két hónap alatt befoltozta a hibát az eszközön. A sérülékenység a Nextbit mellett az InFocus vállalat egyes okostelefonjaiban is megtalálható - a javítás itt még várat magára - a szakértő szerint azonban valószínűleg még számos egyéb cég logóját viselő készülékekben is ott van. Sawyer a hiba kapcsán még augusztusban kapcsolatba lépett a Google androidos biztonsági csapatával, és arra kérte őket, gyakoroljanak nyomást a Foxconnra annak kijavítására.