“Android” mobil əməliyyat sistemində cinayətkarlara istifadəçilərin qurğularını ələ keçirməyə imkan verən kritik boşluq aşkarlanıb. Əməliyyat sisteminin 7.0-dan 9.0-dək (Nougat, Oreo və Pie) olan versiyalarına şamil edilən boşluq (CVE-2019-2107) kodu əlavə hüquqlar olmadan məsafədən yerinə yetirməyə imkan verir. Boşluq üçün eksployt “GitHub” servisində tədqiqatçı Marsin Kozlovski tərəfindən dərc edilib.
“ICTnews” Elektron Xəbər Xidməti “Servernews” resursuna istinadən yazır ki, tədqiqatçının sözlərinə görə, cinayətkar qurğunu zərərli videofaylı vasitəsilə ələ keçirərək onu, məsələn, elektron poçtla (Gmail əlavəsi videonu standart “Android” pleyerinin köməyi ilə yükləyir) göndərə bilər. İstifadəçi faylı açanda isə cinayətkar qurbanın qurğusunu ələ keçirir.
Səhvdən uğurlu istifadə bir şərtlə mümkündür – istifadəçi zərərli videonu yalnız dəyişməz şəkildə yükləməlidir. Zərərli fayl, məsələn, “YouTube”, “WhatsApp” və s. videolarını kodlaşdıracaq servislər vasitəsilə göndərilərkən edilən hücum da effektiv olmayacaq.
Hazırda riskə məruz qalan qurğuların sayı məlum deyil. “Google” şirkətinin məlumatına görə, 2019-cu ilin mayında “Android” əsasında işləyən aktiv telefonların sayı 2,5 milyardı ötüb. Onların təxminən 58 faizi (təqribən 1,5 milyard) əməliyyat sisteminin boşluqların mövcud olduğu versiyalarının idarəetməsi ilə işləyir.
“Google” şirkəti artıq səhvi aradan qaldıran proqram yenilənməsi təqdim edib.
Nizam Nuriyev