Ha minden igaz, az RSA 2012 konferencián egy olyan új, súlyos sebezhetőséget fognak demonstrálni, amellyel mind az Android, Blackberry és IOS készülékek felett távolról át lehet venni az uralmat.

És mivel a mobil OS frissítések - ha vannak egyáltalán - közel sem olyan tempójúak és egyszerűek, mint mondjuk egy asztali PC esetében, ezért ez a sérülékenység sajnos sokáig - akár a következő készülékcseréig - megmaradhat. A CrowdStrike egy újonnan alapított biztonsági cég, melynek vezetője korábban a McAfee munkatársa volt. Ők fogják bemutatni jövő héten San Franciscóban azt a WebKit alapú támadást, melynek eredményeként a támadók képesek lehetnek megszerezni az irányítást az áldozat okostelefon-készüléke felett.

A támadás úgy működik, hogy kapunk egy e-mailt vagy egy SMS üzenetet, melyben egy kártékony link található, a PEBKAC kattintásról pedig valamilyen jól bevált social engineering trükk fog gondoskodni - tudd meg az irokéz/apacs/sziú/dakota neved, ingyen iPhone, ingyen iPad, ingyen meztelen nők, ingyen Victoria's Secret 1000 dollár, ingyen bármi. A kattintással aztán megfertőződik a készülék, ami a már említett távoli kontroll átvételét jelenti: a támadó lehallgathatja a hívásokat, figyelemmel kísérheti a készülék GPS helyzetét, szóval csupa hasonló nem kívánatos következmény sújthatja porba korábbi jó hangulatunkat.

Mivel a WebKit nem csak Android, hanem Google Chrome, Research in Motion’s BlackBerry, Apple Safari web böngésző valamint Apple iOS rendszer alatt is használatos, ezért nem csupán a zöld robotos készülékek tulajdonosai aggódhatnak, hanem ha minden igaz, és a demonstráció sikeres lesz, szinte minden okostelefon platform veszélyeztetett lesz. Mint ismeretes, 2009-ben Charlie Miller és Collin Mulliner már képesek voltak egy preparált SMS üzenet segítségével támadni az Apple iPhone-t a BlackHat konferencián, ahol ugyancsak sikeresen át tudták venni távolról az uralmat a készülék felett. A módszert adatlopásra, hívások és üzenetek ellenőrzésére lehetett kihasználni, az Apple pedig később ennek nyomán elkészítette az ismertetett sebezhetőség javítását.

Bár a most közelgő bemutató eredetileg a 2.2 Android rendszer alá készült, elviekben semmi nem akadályozza meg azt, hogy a későbbiekben a 2.3 vagy későbbi verziókhoz is elkészülhessen. Mivel az Android esetében sokan használnak még 2.2-est, és az ő esetükben a szerényebb készülékparaméterek miatt esetleg nem is végezhető el a verziófrissítés, sokan védtelenek maradhatnak. Az IOS esetében létezik ugyan rendszeres frissítési mechanizmus, ám ott is például a régebbi 3G, 3GS készülékek tulajdonosai üzleti megfontolások miatt már eleve ki vannak zárva a javítások, updatek trükközések nélküli letöltési lehetőségéből.

Magyarán ha beigazolódik az elv, sikeres lesz a demó, amelyet mi is kíváncsian várunk, akkor a védekezésnél egyfelől a világhírű "nem kattintunk ész nélkül mindenre" módszer, valamint egy naprakész mobilplatformos vírusvédelmi alkalmazás futtattatása lehet hasznos számunkra. Azt mindenesetre mindenkinek tudomásul kell vennie, hogy a mobil eszközök egyre inkább sebezhetőekké válnak, és az okostelefon használóknak sem árt tisztában lenniük azzal, hogy milyen fajta támadási módszereket vethetnek be ellenük.