Уязвимость, которую исследователи планировали использовать для взлома
мобильных телефонов Android на хакерском соревновании на этой неделе, была
закрыта после того, как компания Google устранила соответствующий баг в Android
Market.

Технический директор Duo Security Джон Оберхейд уведомил Google об XSS в
магазине приложений поскольку он не думал, что данная уязвимость будет
соответствовать правилам
хакерского соревнования Pwn2Own
, начало которого назначено на среду.
"Невероятно простая постоянная XSS" позволяла злоумышленникам удаленно
устанавливать вредоносные приложения на телефоны с Android путем заманивания
пользователей на ссылку во время нахождения в аккаунте Google.

Оберхейд позже узнал, что уязвимость не противоречит правилам соревнования, и
могла позволить ему получить $15 000 и мобильный телефон, если бы он выступил
успешно. Но недавно он обнаружил, что компания Google залатала пробел в
безопасности. Награда в
размере $1337
, присвоенная Оберхейду за участие в программе по обнаружению
уязвимостей, является небольшим утешением, написал он в записи

блоге
, опубликованной в понедельник.

"В то время как я потерял хорошую сумму денег, утратив возможность выиграть
соревнование Pwn2Own, Google выплатила награду в размере $1337 за сообщение об
уязвимости", — отметил он. "Я больше разочарован тем, что не смогу выиграть
Pwn2Own при помощи простой XSS-уязвимости, что было бы очень весело, поскольку
Pwn2Own обычно показывает наиболее увлекательные и техничные эксплойты года".

Вдобавок к своему разочарованию Оберхейд отметил решение Google не вносить
изменения в функцию, которая позволяет пользователям устанавливать новые
приложения прямо на свои мобильные телефоны во время просмотра Android Market в
компьютерных браузерах. Функция не предполагает уведомления конечного устройства
с предупреждением о том, что за программа устанавливается и с запросом на
разрешение исполнения. В результате чего подобные удаленные уязвимости будут
обрушиваться на мобильную ОС каждый раз, когда подобного рода XSS уязвимости
будут обнаруживаться в магазине мобильных приложений.

"Вместо игр в закрытие XSS уязвимостей им необходимо решить проблему в корне.
При наличии каких-либо автоматических установок, на телефон должно быть, по
крайней мере, прислано простое подтверждение и запрос на осуществление
установки", — сообщил Оберхейд.

Оберхейд отметил, что он проверял Market на наличие других XSS багов в
течение последней недели и пока не обнаружил ничего подходящего. Хотя XSS
уязвимости настолько распространены, что не будет удивительно, если обнаружатся
новые.

Представитель Google написал в email: "Уведомления об установке появляются на
устройстве в качестве оповещения пользователей, когда браузерная версия Android
Market используется для установки приложений. Так что все не так уж и скрыто.
Также не очевидно то, что другие XSS баги будут обнаружены в этом определенном
механизме и вызовут подобного рода проблемы".

В ответ Оберхейд заметил, что пользователи увидят уведомление лишь после
того, как вредоносное приложение уже будет установлено, и только если посмотрят
в телефон сразу после установки.

"Тем не менее, учитывая, что мы запускаем установку и осуществляем выполнение
нашего приложения сразу после клика по нашей вредоносной ссылке, легко получить
root на устройстве и немедленно удалить всякие предупреждения, которые
появились", — добавил он.

Представитель Google отказался от разъяснений.

Доклад Оберхейда вышел спустя неделю после того, как компания
Google удалила более 50
приложений из Android Market
в связи с тем, что сторонние исследователи
определили их как вредоносные. В конце концов Google положила конец крадущим
информацию с телефонов Android троянам при помощи функции удаленного удаления
программ, встроенной в мобильную платформу, но это очевидно мало для
предотвращения подобных атак, поскольку Google не осуществляет просмотра
приложений, предложенных сторонними исследователями.



Оставить мнение