"Az Android az Új Vadnyugat" - mondta egyszer egy nagy ember ;-) Ennek örömére rendszeresen visszatérünk majd erre a témára, amint valamilyen új trükk, sebezhetőség, vagy kártevő bele lovagol a naplementénkbe.

Új terepe lehet az adathalászatnak, ha nem javítanak egy újonnan felfedezett sérülékenységet az összes Androidban. Ami mai esetünkben a lényeg, a látszólag kívülről okostelefonunkra érkező SMS nem adatforgalomból jön, hanem közvetlenül a kártékony alkalmazástól, és segítségével nagyon könnyen lóvá lehet tenni a felhasználókat.

A készítők egy Youtube videóval is demonstrálták a SMiShing sebezhetőséget, amelyben egy friss 4-es Ice Cream Sandwich és egy őskövületnek számító 1.6-os Donuton is bemutatták, hogyan működik mindez. Az érkező SMS a megtévesztésig hasonlít a valódi szöveges üzenetekhez, és akár látszólag a bankunk nevében is érkezhet, de tetszőleges feladó hamisítható bele, például a sokszor és sokat támadott PayPal nevében is könnyedén küldhetnek kártékony linket.

A demó leglátványosabb része kétségtelenül az volt, amikor megmutatták, SIM kártya behelyezés nélkül is szépen jön az ilyen SMS. A North Carolina State University-n dolgozó kutatók már jelezték a problémát a Google felé, akik ígéretet tettek arra, alaposan megvizsgálják a hibát. Ami valljuk be, nem egyszerű még akkor sem, még ha esetleg gyorsan frissítenek. Minden egyes gyártó minden egyes változatára úgysem lehet frissíteni, emlékezzünk csak az októberi USSD incidensre, ahol távolról lehetett törölni a telefonokat, és a Samsung csak és kizárólag a neki legfontosabb Galaxy Tabra adott ki gyorsjavítást, másra viszont már nem.

Előbb-utóbb tényleg kijelenthetjük, annyira halmozódnak a veszélyek az Androidon, hogy a Windows-hoz hasonlóan lassan itt sem kerülhető el egy thirdparty vírusvédelmi program állandó használata. De természetesen a telepített alkalmazások kiválasztása hasonlóan egyfajta gyengepont itt is. Az, hogy mit installál valaki, bizalmi kérdéssé kell hogy váljon.

Az alkalmazásnak sok kívánalomnak kell egyszerre megfelelnie ahhoz, hogy valóban bátran telepítsük: hosszú távon is kedvező felhasználói visszajelzésektől kezdve az ésszerű mértékben igénybe vett engedélyek használatán át a beazonosítható, megbízható, elérhető fejlesztői háttérig sok olyan szempont szerepel ebben, amik közül ha csak egy is hiányzik, már érdemes kicsit elgondolkodni, vagy akár elállni a telepítéstől vagy frissítéstől.