Уже месяц прошёл с момента, когда независимые эксперты сообщили о двух явных уязвимостях в платформе Android, но информации, когда же ошибки будут устранены, до сих пор нет.
Первая ошибка разработчиков предоставляет злоумышленникам возможность устанавливать на устройства приложения, не имея на то разрешения пользователей. Для подтверждения уязвимости на практике исследователь Д.Оберхейд внедрил в Android Market приложение, замаскированное под дополнение для Angry Birds, которое незаметно и незаконно, в тайне от пользователя устанавливало ещё три приложения, позволяющие контролировать местонахождение, контакты в телефоне, текстовые сообщения с передачей данных на удалённый сервер.
Вторая уязвимость притаилась в ядре Linux и даёт возможность установленным приложениям, обладающим ограниченными привилегиями, получать над устройством полный контроль. Данный баг имеется в коде, который производители использовали в популярных моделях смартфонов, в том числе в Nexus S.
Д.Оберхейд и его коллега З.Ланьер намерены в ноябре на конференции SOURCE рассказать о выявленных уязвимостях во всех подробностях. Google же данные исследователей пока не комментирует.
Источник: web20.su
