Исследователи разработали пробную версию программы для Android, которая может
буквально "подслушивать" номера кредитных карт.
Программное обеспечение Dubbed Soundminer использует микрофон телефона для
прослушивания номеров кредитных карт, произносимых вслух или записываемых в
телефон, рассказывают Forbes. Оно было разработано шестью исследователями из
Indiana University и City University of Hong Kong, которые планируют
продемонстрировать его в следующем месяце на симпозиуме по безопасности в Сан
Диего.
Цель команды показать, что даже умный пользователь, который не даёт доступа
неизвестным программам к клавиатуре или соединению с Интернетом, может быть
обманут. Если странное дополнение выдает запрос на использование микрофона
телефона, пользователь, возможно, будет ожидать, что цель дополнения – кража
данных, в гораздо меньшей степени.
Программное обеспечение также не требует доступа в Интернет для пересылки
данных. Вместо этого оно опирается на коварный скрытый канал утечки информации,
позволяющий дополнениям посылать небольшое количество данных другим дополнениям.
Так программа направляет украденную информацию дополнению Deliverer, которое, в
свою очередь, пересылает информацию хакеру. Согласно исследователям, приложение
Deliverer может быть установлено автоматически в ходе установки Soundminer.
Soundminer – продукт исследователей, а не хакеров-злоумышленников, и
настоящее назначение программного обеспечения – обнаружить недостатки
безопасности в Android. В
отчете (PDF) о Soundminer
исследователи предполагают, что пользователи могут отключить доступ к микрофону, а Google может включить
лучшие разрешения на использование приложений, чтобы лишить эксплойт возможности
доступа.
