Серьезность уязвимости Master Key (ошибка № 8219321), обнаруженной Bluebox Security, оспаривалась, и люди часто готовы игнорировать теоретические уязвимости до тех пор, пока широко распространенная уязвимость нулевого дня не станет достоянием общественности. Первоначальные заявления заключались в том, что 99% устройств Android были уязвимы, но с тех пор их число уменьшилось благодаря патчам и обновлениям Google. Тем не менее, поскольку производители и операторы связи не видят долгосрочной ценности в быстрых (или любых) обновлениях для своих телефонов, огромное количество пользователей Android остаются незащищенными.
(У Bluebox есть сканер в Play Маркете, чтобы определить, остается ли ваше Android-устройство уязвимым)
На сцену выходит Саурик, разработчик/хакер/скрипач, ответственный за репозиторий Cydia Jailbreak для iOS и Substrate для Android, который сегодня утром опубликовал эксплойт и исправление (а также замечательно подробное описание ошибки №8219321) для незащищенных устройств Android. В истинном стиле джейлбрейка эксплойт запускается с Mac или ПК и за несколько шагов предоставляет su/Root-доступ к зараженному телефону/планшету. Хотя это не так просто в использовании по принципу «включай и работай», как недавние джейлбрейки iOS, это достаточно просто для любого, кто хочет получить root-доступ на своем незащищенном телефоне за несколько минут.
Ни один эксплойт уязвимости не стоил бы внимания, если бы к нему не прилагалось исправление, и этот случай не исключение. Люди, которым просто нужно исправление, которое их оператор/производитель не предоставляет, также могут использовать это, чтобы убедиться, что они не уязвимы.
Мы обратились в Google за комментариями и сообщим, если получим ответ.