В этом выпуске: баг Android, открывающий возможность выполнить SMS-фишинг, блокировка сторонних камер для доступа из других приложений в Android 11, новые API Java в старых версиях Android, отзывы о приложении внутри приложения, опасность оператора Elvis, удобный способ отследить открытие клавиатуры и рецепт ускорения повторных сборок на 40%. А также: новые инструменты пентестера и библиотеки для разработчиков.
 

Почитать

 

SMS-фишинг по-новому

Smear phishing: a new Android vulnerability — заметка об интересном (и неисправленном) баге Android, позволяющем выполнить спуфинг отправителя SMS-сообщения.

Небольшая предыстория. SMS-сообщения могут не только быть отправлены с какого-то номера телефона, но и иметь в качестве отправителя так называемый Sender ID. Это поле, которое состоит из букв и цифр и по факту никем не регулируется. Любой желающий может воспользоваться SMS-шлюзом (например, ClickSend) и отправить тебе сообщение, в котором в качестве Sender ID будет указан Google или даже BillGates.

Сам по себе такой вид фишинга известен давно, но в своем дефолтовом варианте он может ввести в заблуждение только твою маму. Дело в том, что если у тебя в контактах уже есть телефон Билла Гейтса, то сообщение с номера BillGates будет выглядеть крайне подозрительно:

  • оно попадет в отдельную ветку разговора;
  • оно не будет привязано к существующему контакту;
  • поле «Отправитель» (BillGates вместо номера) будет выглядеть крайне странно.

Обойти эту проблему можно было бы, указав в Sender ID реальный телефон Билла Гейтса. В этом случае ОС посчитала бы такое сообщение настоящим сообщением от этого человека, добавила бы сообщение к существующему диалогу и привязала к контакту. Но у тебя вряд ли получится так сделать, потому что SMS-шлюзы блокируют исключительно цифровые Sender ID.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Оставить мнение