• Партнер

  • Исследователи обнаружили уязвимости в Google Android, которые позволяют
    выполнять установку вредоносных программ на смартфоны пользователей.

    Две наиболее серьезные ошибки были продемонстрированные вчера на примере
    proof-of-concept приложений, доступных в Market. Описаны они как расширения
    популярной игры Angry Birds и на самом деле устанавливают три дополнительных
    приложения, которые без предупреждения пользователя получают доступ к контактам,
    данным о местоположении и SMS-возможностям и, соответственно, могут передавать
    свои данные на сторонние сервера.

    На удаление программ у Google ушло около 6 часов, говорит технический
    специалист Scio Security Джон Оберайд, один из двух исследователей, открывших и
    проэксплуатировавших уязвимости. По его словам сложнее будет закрыть уязвимость
    в работе со специальными токенами безопасности, которые
    Google использует для аутентификации пользователей
    Android и, соответственно, защиты их паролей от доступа сторонних
    сервисов. Его PoC как раз работает с уязвимостью в
    этой системе токенов.

    "Он взламывает этот токен для выполнения тех же действий, что делают
    нормальные приложения, но не спрашивая разрешения у пользователя", - говорит
    Оберайд. "Мы можем обойти ограничения системы безопасности".

    "Мы начали выпуск заплатки, которую нужно установить на все
    Android-устройства", - комментирует эти эксплоиты представитель
    Google. "Как обычно мы можем посоветовать
    пользователям устанавливать лишь те приложения, которым они доверяют".

    Недавно так же другой
    исследователь выпустил proof-of-concept код
    , который эксплуатирует
    уязвимость в большинстве версий Google Android. M.J. Keith из Alert Logic тогда
    объяснил, что код им выпущен в качестве иллюстрации неадекватной системы выпуска
    патчей для открытой мобильной платформы. Вместо того, что бы самому искать
    уязвимости, он просмотрел известные ошибки в Apple Safari, который основан на
    том же движке Webkit, что и браузер Android. В результате им легко получен
    работающий эксплоит, который работает примерно на 2/3 всех смартфонов поду
    правлением Android.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии