Bluebox Security บริษัทสตาร์ทอัพด้านความปลอดภัยบนมือถือรายงานช่องโหว่ใหม่ในมือถือที่ใช้ระบบปฏิบัติการ Android ตั้งแต่รุ่น 1.6 (Donut) ขึ้นไป ซึ่งหมายความว่าเครื่องที่ออกมาภายใน 4 ปีหลังสุดซึ่งคิดเป็นจำนวนเกือบ 900 ล้านเครื่องมีโอกาสที่จะได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถแก้ไขเปลี่ยนแปลงโค้ด APK โดยที่ไม่ทำให้ลายเซ็นเข้ารหัสของแอพเปลี่ยนแปลงไป ส่งผลให้ตัวระบบ Android คิดว่าแอพดังกล่าวไม่เกิดการเปลี่ยนแปลง แฮกเกอร์จึงสามารถเปลี่ยนแอพธรรมดาสามัญใดๆ ให้กลายเป็นโทรจันได้
ช่องโหว่ดังกล่าวจะร้ายแรงยิ่งขึ้นเมื่อใช้กับแอพที่พัฒนาโดยผู้ผลิตหรือแอพใดๆ ที่สามารถเข้าถึงข้อมูล UID (ตัวรหัสบ่งบอกเครื่อง) แฮกเกอร์อาจเข้าถึงและขโมยรหัสผ่านหรือข้อมูลบัญชีผู้ใช้ หรือยิ่งไปกว่านั้น เข้าควบคุมเครื่องโดยสมบูรณ์
ทั้งนี้กูเกิลได้รับทราบถึงปัญหานี้และได้แบ่งปันข้อมูลนี้กับกลุ่ม Open Handset Alliance มีรายงานว่ากูเกิลปรับปรุงให้ Google Play สามารถกรองแอพที่ถูกแก้ไขเหล่านี้ได้และ Samsung Galaxy S4 ได้รับการอุดช่องโหว่เรียบร้อยแล้ว รวมทั้งยังไม่มีรายงานการใช้ช่องโหว่นี้ในระบบนิเวศจริงแต่อย่างใด
อย่างไรก็ดี ผู้โจมตียังคงสามารถหลอกให้ผู้ใช้ทำการติดตั้งแอพเหล่านี้ด้วยมือ แพร่กระจายผ่านอีเมล อัพโหลดแอพนั้นๆ เข้าสู่แอพสโตร์ภายนอก ส่งผ่านทาง USB หรืออื่นๆ ได้
ที่มา - TechCrunch, CIO