Исследователь выпустил proof-of-concept код, который эксплуатирует уязвимость
в большинстве версий Google Android.

M.J. Keith из Alert Logic объяснил, что
код им выпущен в
качестве иллюстрации неадекватной системы выпуска патчей для
открытой мобильной
платформы
. Вместо того, что бы самому искать уязвимости, он просмотрел
известные ошибки в Apple Safari, который основан на том же движке
Webkit, что и браузер Android.
В результате им легко получен работающий эксплоит, который работает примерно на
2/3 всех смартфонов поду правлением Android.

"Им нужна лучшая система патчей", — говорит исследователь. "Они хорошо
исправляют ошибки в новых релизах, но думаю необходимо создать вменяемую систему
патчей для Android".

Уязвимость, которую эксплуатирует Кейт, исправлена в Android 2.2, но пока с
этой версией работает только 36% устройств. Это означает, что все остальные
открыты для атаки. Более того, Кейт говорит, что нет никаких проблем и с поиском
других  документированных ошибок Webkit, которые еще предстоит закрыть в
версии 2.2.

"Я нашел четыре или пять уязвимостей и я при этом особо не вдавался в
исследования".

Комментариев от Google пока не последовало.



Оставить мнение