Operační systém Android, vyvinutý společností Google, je jedním z nejrozšířenějších mobilních operačních systémů na světě. Ačkoli Android nabízí široké možnosti přizpůsobení a rozsáhlou podporu aplikací, ani on se nevyhnul vážným chybám (možná právě z toho důvodu), které ovlivnily uživatele po celém světě. Problém také často byla skutečnost, že záplaty přišly například až s určitou verzí Androidu. Ovšem trvalo, než je všichni výrobci dali do svých zařízení. Zde je přehled osmi nejzávažnějších chyb, které se objevily v systému Android.
1. Chyba Stagefright (2015)
Jedna z nejzávažnějších bezpečnostních zranitelností v historii Androidu, Stagefright, byla objevena v roce 2015. Tato chyba se týkala multimediálního frameworku Stagefright a umožňovala útočníkům převzít kontrolu nad zařízením pouhým odesláním škodlivé MMS zprávy. Problém spočíval v tom, že útočníci mohli spustit kód na dálku, aniž by uživatelé museli otevřít zprávu. Google vydal opravy, ale mnoho zařízení zůstalo nechráněných kvůli fragmentaci Androidu a opožděným aktualizacím od výrobců.
2. Android Master Key (2013)
V roce 2013 byla objevena vážná bezpečnostní chyba nazývaná Android Master Key, která umožňovala útočníkům změnit obsah aplikací, aniž by změnili jejich digitální podpis. Tato chyba umožňovala modifikovat libovolnou aplikaci, aby vypadala důvěryhodně, zatímco obsahovala škodlivý kód. Vzhledem k tomu, že Android ověřuje aplikace pouze na základě jejich podpisů, uživatelé si mohli nainstalovat infikované aplikace přímo z Google Play nebo jiných zdrojů.
3. Certifi-Gate (2015)
V roce 2015 byla objevena chyba zvaná Certifi-Gate, která umožňovala útočníkům zneužít předinstalované aplikace s výsadními oprávněními a vzdáleně ovládat zařízení. Útočníci tak mohli bez vědomí uživatele získat přístup k citlivým datům nebo kamerám zařízení. Oprava této chyby byla komplikována tím, že šlo o problém v aplikacích předinstalovaných výrobci telefonů.
4. Blueborne (2017)
Chyba Blueborne byla odhalena v roce 2017 a umožňovala útočníkům napadnout zařízení prostřednictvím Bluetooth, aniž bylo nutné spárování. Útočníci mohli převzít kontrolu nad zařízením a získat přístup k citlivým datům. Blueborne ovlivňoval nejen Android, ale i další operační systémy, jako je Windows nebo iOS. Google vydal bezpečnostní záplaty, ale problém opět spočíval v rychlosti jejich nasazení jednotlivými výrobci.
5. KRACK Wi-Fi Attack (2017)
Chyba KRACK (Key Reinstallation Attack) ovlivnila šifrování WPA2, což je protokol používaný pro zabezpečení Wi-Fi sítí. Útočníci mohli tuto chybu zneužít k dešifrování přenosů mezi zařízením a Wi-Fi routerem. To znamenalo, že mohli sledovat komunikaci, odchytávat data nebo vkládat škodlivé kódy do přenosů. KRACK ovlivňoval nejen Android, ale všechna zařízení připojená k Wi-Fi sítím. Google vydal bezpečnostní opravu, ale kvůli fragmentaci Androidu byla mnohá zařízení zranitelná po ještě hodně dlouhou dobu.
6. Zranitelnost WebView (2014)
V roce 2014 byla objevena vážná zranitelnost v komponentě WebView, která umožňovala spouštění webového obsahu v aplikacích třetích stran. WebView obsahovala chybu, která umožňovala útočníkům spustit škodlivý kód při návštěvě „nakažené“ webové stránky nebo při otevření škodlivé aplikace. Google zastavil podporu pro aktualizace WebView ve starších verzích Androidu, což vedlo k tomu, že zařízení běžící na Androidu 4.3 Jelly Bean a starších zůstala nechráněná.
7. Fake ID (2014)
Chyba známá jako Fake ID byla odhalena v roce 2014 a umožňovala útočníkům vydávat se za důvěryhodné aplikace, například Google Wallet, tím, že obcházeli kontrolní mechanismus certifikátů Androidu. Útočníci mohli tímto způsobem získat přístup k citlivým datům, a to bez vědomí uživatele. Google na chybu rychle zareagoval a vydal bezpečnostní záplatu, ale vzhledem k fragmentaci platformy nebyly všechny smartphony včas aktualizovány.
8. QuadRooter (2016)
QuadRooter byla série čtyř zranitelností v procesorech Qualcomm, které ovlivnily více než 900 milionů zařízení s Androidem. Chyby umožňovaly útočníkům získat plnou kontrolu nad zařízením, aniž by uživatelé museli vědomě instalovat škodlivý software. Tento problém zasáhl především zařízení vyšší třídy, která používají čipy Qualcomm. Google a Qualcomm vydali záplaty, ale jako obvykle trvalo delší dobu, než je výrobci distribuovali na svá zařízení.