luka

NEWS: luka w Androidzie pozwala śledzić lokalizację smartfonów

Aplikacje androidowe potrafią podejrzeć dane sieci, numer IP i identyfikator urządzenia (MAC), nawet pomimo braku przydzielonych uprawnień. Google zapowiedziało, że wyda poprawkę zabezpieczeń, ale tylko dla najnowszej wersji systemu. Edycje takie jak Oreo, Nougat i Marshmallow pozostaną z luką.

Eksperci z Nightwatch Cybersecurity przetestowali podatność na wielu modelach smartfonów z zainstalowanymi różnymi wersjami Androida. W 99,9% przypadków byli w stanie wydobyć dane dotyczące używanych sieci, a następnie zlokalizować użytkownika za pomocą takich baz danych jak WiGLE czy SkyHook. Co istotne, aplikacje mają dostęp do fizycznego adresu konkretnego urządzenia (tzw. adresu MAC), który pozwala śledzić miejsca, w jakich użytkownik łączył się z siecią. W przypadku osób korzystających bez przerwy z mobilnego internetu oznacza to, że luka umożliwia na przykład dokładne określenie trasy podróży oraz aktualnej lokalizacji.

Android udostępnia dane na temat sieci aplikacjom, które nie mają do takich danych uprawnień (graf. Nightwatch Cybersecurity)

Programista Vilius Kraujutis napisał aplikację do podglądania wiadomości, jakie system Google wysyła za pomocą globalnych usług. Kod programu autor umieścił na GitHubie. Warto zaznaczyć, że do lokalizacji konkretnego urządzenia nie potrzeba danych GPS, ani stacji BTS. Wystarczą identyfikatory sieci, które pomagają z dużą dokładnością określić obszar, gdzie znajduje się telefon komórkowy.

Androida zbyt łatwo da się śledzić (graf. WiGLE)

Google zapowiedziało, że wprowadzi zmiany, ale tylko w najnowszej wersji systemu, czyli 9. Sprawa jest bardzo istotna, bo dotyczy wszystkich urządzeń z Androidem. Co prawda 6 sierpnia miała miejsce premiera edycji 9.0 Pie, w której koncern zamierza usunąć lukę, jednak większość spośród dzisiejszych ponad 2 miliardów urządzeń z systemem operacyjnym Google’a nie zostanie nigdy zaktualizowana do tej wersji. | CHIP