Исследователи обнаружили уязвимости в Google Android, которые позволяют
выполнять установку вредоносных программ на смартфоны пользователей.

Две наиболее серьезные ошибки были продемонстрированные вчера на примере
proof-of-concept приложений, доступных в Market. Описаны они как расширения
популярной игры Angry Birds и на самом деле устанавливают три дополнительных
приложения, которые без предупреждения пользователя получают доступ к контактам,
данным о местоположении и SMS-возможностям и, соответственно, могут передавать
свои данные на сторонние сервера.

На удаление программ у Google ушло около 6 часов, говорит технический
специалист Scio Security Джон Оберайд, один из двух исследователей, открывших и
проэксплуатировавших уязвимости. По его словам сложнее будет закрыть уязвимость
в работе со специальными токенами безопасности, которые
Google использует для аутентификации пользователей
Android и, соответственно, защиты их паролей от доступа сторонних
сервисов. Его PoC как раз работает с уязвимостью в
этой системе токенов.

"Он взламывает этот токен для выполнения тех же действий, что делают
нормальные приложения, но не спрашивая разрешения у пользователя", — говорит
Оберайд. "Мы можем обойти ограничения системы безопасности".

"Мы начали выпуск заплатки, которую нужно установить на все
Android-устройства", — комментирует эти эксплоиты представитель
Google. "Как обычно мы можем посоветовать
пользователям устанавливать лишь те приложения, которым они доверяют".

Недавно так же другой
исследователь выпустил proof-of-concept код
, который эксплуатирует
уязвимость в большинстве версий Google Android. M.J. Keith из Alert Logic тогда
объяснил, что код им выпущен в качестве иллюстрации неадекватной системы выпуска
патчей для открытой мобильной платформы. Вместо того, что бы самому искать
уязвимости, он просмотрел известные ошибки в Apple Safari, который основан на
том же движке Webkit, что и браузер Android. В результате им легко получен
работающий эксплоит, который работает примерно на 2/3 всех смартфонов поду
правлением Android.



Оставить мнение