• Партнер

  • Прошло более месяца с тех пор, как исследователи сообщили о двух серьёзных
    уязвимостях в системе безопасности Android, но пока нет никаких данных, когда
    они будут исправлены в созданной Google операционной системе, которая является
    самой популярной в мире платформой для смартфонов.

    Первая уязвимость позволяет устанавливать приложения без разрешения
    пользователя. Повышение привилегий даёт возможность взломщикам тайно
    устанавливать вредоносные программы, подобно тому, как это делал
    PoC-эксплойт,
    опубликованный исследователем Джоном Оберхейдом
    . Тогда приложение, которое
    он внедрил в Android Market и замаскировал под дополнение для Angry Birds,
    незаметно устанавливало три дополнительных приложения, которые без
    предупреждения пользователя контролировали контакты в телефоне, сведения о
    местонахождении, текстовые сообщения, так что данные могли быть переданы
    удалённому серверу.

    "Экосистема Android Market продолжает быть благоприятной сферой для багов", -
    написал в электронном письме Джон Оберхейд. "Есть несколько сложных связей между
    устройствами и серверами Google Market, и они сделаны ещё более сложными и
    опасными Android Web Market".

    Вторая ошибка находится в ядре Linux и позволяет установленным приложениям с
    ограниченными привилегиями получать полный контроль над устройством. Этот баг
    содержится в коде, который некоторые производители использовали в наиболее
    популярных телефонах, включая Nexus S. Уязвимость подрывает механизм защиты,
    созданный разработчиками Google чтобы сдержать тот вред, который приложение
    может нанести любому телефону.

    Оберхейд и его коллега Зах Ланьер планируют рассказать больше об этих
    уязвимостях в ноябре на двухдневном учебном курсе на конференции SOURCE в
    Барселоне. В то же время они сделали короткий видеоролик, показывающий их
    эксплойт в действии.

    Представитель Google вежливо отказался комментировать это сообщение.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии