Исследователь выпустил proof-of-concept код, который эксплуатирует уязвимость
в большинстве версий Google Android.
M.J. Keith из Alert Logic объяснил, что
код им выпущен в
качестве иллюстрации неадекватной системы выпуска патчей для
открытой мобильной
платформы. Вместо того, что бы самому искать уязвимости, он просмотрел
известные ошибки в Apple Safari, который основан на том же движке
Webkit, что и браузер Android.
В результате им легко получен работающий эксплоит, который работает примерно на
2/3 всех смартфонов поду правлением Android.
"Им нужна лучшая система патчей", - говорит исследователь. "Они хорошо
исправляют ошибки в новых релизах, но думаю необходимо создать вменяемую систему
патчей для Android".
Уязвимость, которую эксплуатирует Кейт, исправлена в Android 2.2, но пока с
этой версией работает только 36% устройств. Это означает, что все остальные
открыты для атаки. Более того, Кейт говорит, что нет никаких проблем и с поиском
других документированных ошибок Webkit, которые еще предстоит закрыть в
версии 2.2.
"Я нашел четыре или пять уязвимостей и я при этом особо не вдавался в
исследования".
Комментариев от Google пока не последовало.
