В этом выпуске: баг Android, открывающий возможность выполнить SMS-фишинг, блокировка сторонних камер для доступа из других приложений в Android 11, новые API Java в старых версиях Android, отзывы о приложении внутри приложения, опасность оператора Elvis, удобный способ отследить открытие клавиатуры и рецепт ускорения повторных сборок на 40%. А также: новые инструменты пентестера и библиотеки для разработчиков.
 

Почитать

 

SMS-фишинг по-новому

Smear phishing: a new Android vulnerability — заметка об интересном (и неисправленном) баге Android, позволяющем выполнить спуфинг отправителя SMS-сообщения.

Небольшая предыстория. SMS-сообщения могут не только быть отправлены с какого-то номера телефона, но и иметь в качестве отправителя так называемый Sender ID. Это поле, которое состоит из букв и цифр и по факту никем не регулируется. Любой желающий может воспользоваться SMS-шлюзом (например, ClickSend) и отправить тебе сообщение, в котором в качестве Sender ID будет указан Google или даже BillGates.

Сам по себе такой вид фишинга известен давно, но в своем дефолтовом варианте он может ввести в заблуждение только твою маму. Дело в том, что если у тебя в контактах уже есть телефон Билла Гейтса, то сообщение с номера BillGates будет выглядеть крайне подозрительно:

  • оно попадет в отдельную ветку разговора;
  • оно не будет привязано к существующему контакту;
  • поле «Отправитель» (BillGates вместо номера) будет выглядеть крайне странно.

Обойти эту проблему можно было бы, указав в Sender ID реальный телефон Билла Гейтса. В этом случае ОС посчитала бы такое сообщение настоящим сообщением от этого человека, добавила бы сообщение к существующему диалогу и привязала к контакту. Но у тебя вряд ли получится так сделать, потому что SMS-шлюзы блокируют исключительно цифровые Sender ID.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Оставить мнение