Biztonsági kutatások szerint legalább 18 ezer olyan androidos alkalmazás létezik, amelyek a háttérben minden beérkező SMS-t feltöltenek egy távoli kiszolgálóra. Jelenleg még „csak” Kína érintett.
Egyre több androidos alkalmazásba kerülnek olyan szoftveres összetevők, amelyek hirdetések megjelenítésére alkalmasak, és ilyen módon juttatják némi bevételhez a fejlesztőket. E reklámkomponensek általában nem saját fejlesztésű megoldások, azokat a hirdetéskiszolgálók biztosítják, és általában egyszerűen beépíthetők a különféle appokba. Most azonban nagy pofont kapott ez megközelítés, ugyanis az egyik legjelentősebb reklámösszetevőről kiderült, hogy adatlopásra alkalmas.
Elsőként a Palo Alto Networks biztonsági kutatóinak tűnt fel, hogy az úgynevezett Taomike SDK fejlesztői eszközkészlettel valami nagyon nincs rendben. A Taomike SDK az egyik legnagyobb kínai, mobil reklámkiszolgáló platform. Jelenleg 63 ezer androidos alkalmazásban található meg. Ezek közül nem kevesebb mint 18 ezerről derült ki, hogy a háttérben minden beérkező SMS-t feltöltenek egy távoli szerverre, vagyis a felhasználók tudta nélkül szivárogtatják az adatokat.
Az eddigi vizsgálatok szerint az SDK esetében a zdtpay könyvtárral van probléma, amely a következő „beégetett” URL-t tartalmazza: hxxp://112.126.69.51/2c.php.
Ez az a cím, amelyre a szoftveres komponens feltölti az SMS-üzeneteket. Ehhez egy receivert regisztrál be az Android alá. Emellett arról is gondoskodik, hogy a készülék újraindítása után is be tudjon töltődni. Amikor pedig egy érintett eszközre beérkezik egy SMS, akkor azt rögtön észleli, és továbbítja a távoli kiszolgálóra. Időközben az is kiderült, hogy ez a szerver a Taomike fennhatsága alatt áll.
Nálunk nincs veszély… még!
Az elemzések szerint problémás Taomike SDK-val felvértezett alkalmazások nem találhatóak meg a hivatalos Google Play áruházban. Kizárólag kínai, nem hivatalos alkalmazásáruházakból tölthetők le a túlságosan kíváncsi szoftverek. Emellett az is csökkenti a kockázatokat, hogy kizárólag azok a szoftverek bőbeszédűek, amelyek a Taomike SDK augusztusban kiadott verziójára épülnek. A korábbi kiadásokban ez az SMS-lopó összetevő még nem volt benne. Mind ezek mellett segíti a védekezést, hogy az Android 4.4 óta csak azok a programok férhetnek hozzá közvetlenül az SMS-küldéshez, amelyek alapértelmezett SMS-alkalmazásként vannak megjelölve.
Noha a mostani eset elsősorban a Kínai felhasználók számára okoz fejtörést, a Palo Alto Networks felhívta a figyelmet arra, hogy a történtek nagyon sok tanulságot hordoznak, és jól példázzák, hogy milyen egyszerűen és alattomos módon válhatnak kiszolgáltatottá a mai eszközök. Különösen a fejlesztőknek kell nagyon körültekintőnek lenniük akkor, amikor az alkalmazásaikba külső szoftverkomponenseket integrálnak. Alaposan meg kell vizsgálniuk, hogy az összetevők beépítése után nem kel-e önálló életre a szoftverük, mint ahogy az most a Taomike esetében történt.
Forrás:
