Ερευνητές της IBM, ανακάλυψαν πριν από 9 μήνες ένα σημαντικό κενό ασφαλείας στο Android, το οποίο επιτρέπει στον επιτιθέμενο να αποκτήσει κλειδιά που χρησιμοποιούνται για ασφαλείς συναλλαγές από τραπεζικές εφαρμογές, κωδικούς για VPN (ιδεατά ιδιωτικά δίκτυα), και το PIN ή το συνδυασμό για το ξεκλείδωμα της συσκευής.

Το κενό ασφαλείας, βρίσκεται στην υπηρεσία Android KeyStore, μια υπηρεσία ασφαλούς αποθήκευσης κλειδιών και αναγνωριστικών μέσα στο Android, και προκαλείται με τη μέθοδο υπερχείλισης της προσωρινής μνήμης (buffer overflow). Για να εκμεταλλευτεί ο επιτιθέμενος το κενό ασφαλείας, θα πρέπει αφενός να εκτελεστεί επιβλαβής κώδικας, αφετέρου να ξεπεραστούν ορισμένα εμπόδια:


α) Data Execution Prevention
β) Address Space Layout Randomization
γ) Stack Canaries
δ) Κωδικοποίηση, καθώς οι χαρακτήρες κάτω από το “0” ή πάνω από το “~” κωδικοποιούνται πριν την εγγραφή τους στην προσωρινή μνήμη (buffer)

Τα καλά νέα είναι ότι από την ανακάλυψη του κενού, ως τη δημοσίευση της αναφοράς, η Google ενημερώθηκε και διόρθωσε το πρόβλημα. Τα άσχημα νέα είναι ότι η διόρθωση έχει εφαρμοστεί μόνο στην τελευταία κύρια έκδοση του Android, στο Android 4.4 (KitKat), πράγμα που σημαίνει ότι το 86,4% των συσκευών με έκδοση λειτουργικού από 4.3 και κάτω, παραμένουν ευάλωττες.