В Android найдена «супердыра нового типа»: Миллионы пользователей в опасности

Специалисты компании Bluebox Labs раскрыли информацию об уязвимости в Android, позволяющую злоумышленникам получать доступ к функциям сматфонов и планшетов и хранящимся на них личным данным без разрешения пользователя.

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
    • ГлавнаяНовостиНовостиНовости, 201408Новости, 201408 → В Android найдена «супердыра нового типа»: Миллионы пользователей в опасности
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Три месяца назад Bluebox Labs известила Google об этой уязвимости, и компания тут же выпустила патч для ее устранения.

Тем не менее, миллионы пользователей остаются в зоне риска. Дело в том, что уязвимость была устранена лишь в последней версии Android, а в версиях начиная с 2.1 (Eclair) и вплоть до 4.3.1 (Jelly Bean) она по-прежнему присутствует. Версия 2.1 была выпущена в январе 2010 г.

В англоязычных изданиях «дыру», найденную Bluebox Labs, назвали «суперуязвимостью нового типа», видимо, потому что она может привести к распространению чрезвычайно вредоносного ПО.

Сами аналитики BlueBox наывают ее Fake ID («поддельное удостоверение»), потому что она позволяет обмануть систему цифровых подписей (сертификатов) приложений и выдать вредоносное приложение за приложение официального поставщика, которому пользователь уже разрешил доступ к системе.

Проблема заключается в самом процессе проверки сертификатов, объяснил в блоге компании технический директор Bluebox Labs Джефф Фористал (Jeff Forristal). В качестве примера он привел ситуацию, когда грабитель подходит к охране и предъявляет поддельный пропуск, а охрана, взглянув на пропуск, пускает его в здание, не удосужившись сделать контрольный звонок в службу, которая выдает удостоверения.


Новая уязвимость вновь затрагивает миллионы владельцев Android-устройств

«Android не проверяет, действительно ли дочерняя цифровая подпись связана с родительской цифровой подписью, а просто безоговорочно доверяет этому утверждению. Это фундаментальная проблема самой операционной системы», — говорит Фористал.

Например, приложение объявляет системе, что оно было создано компанией Adobe Systems, приводит пример эксперт. Android это утверждение не проверяет и наделяет приложение привилегиями, доступными официальным приложениям от Adobe. В результате хакер может внедрить в систему вредоносный код, прикрываясь плагином Flash. Другой пример заключается в использовании сертификата приложения Google Wallet, имеющего доступ к функции NFC.

Или, например, злоумышленник может воспользоваться правами программного обеспечения 3LM, которое HTC, Sony, Sharp и Motorola использовали для кастомизации графических оболочек на выпускаемых устройствах. Получив привилегии 3LM, злоумышленник может получить права на совершение всех действий, которые разрешены 3LM, включая удаление и установку приложений любого содержания.

Подобная уязвимость обнаруживается в Android не в первый раз. В июле 2014 г. специалисты этой же компании, Bluebox, нашли в операционной системе баг, позволяющий хакеру модифицировать код установочного APK-файла и превратить в троян любое подлинное приложение. Как сообщили эксперты, данная ошибка существует на 900 млн устройств под управлением разработанной Google операционной системы.

В России произвели первую партию серверов «Яндекса»

«Яндекс» с партнерами выпустил первую партию серверов, изготовленных в России. Они основаны на базе разработанного в «Яндексе» сервера четвертого поколения. Такие серверы используют в дата-центрах для расширения облачной платформы Yandex.Cloud и в су...

Москва заняла второе место на международном конкурсе Global ICT Excellence Awards

Правительство Москвы заняло второе место среди государственных структур на международном конкурсе Global ICT Excellence Awards в номинации «Стартап-экосистема». Награду получают организации, реализовавшие наиболее успешные проекты поддержки стартапов...

Отряд «ЛизаАлерт» и билайн подводят итоги использования совместных технологий

Поисково-спасательный отряд «ЛизаАлерт» и билайн подвели итоги высокого поискового сезона 2021 года. ...

Роскомнадзор раскрыл компании, подпавшие под закон о «приземлении»

В реестр попали 13 компаний и принадлежащие им ресурсы, в том числе Google, Meta, Twitter и другие. Согласно закону о «приземлении» ИТ-гиганты должны открыть в России филиал или юрлицо и зарегистрироваться на сайте Роскомнадзора Alphabet ...

Как сэкономить время при покупке полиса для квартиры

Компания «АльфаСтрахование» при поддержке билайн запустила возможность автозаполнения клиентских данных с помощью «Мобильного ID» при покупке полиса для квартиры. Это вдвое сократило время оформления страховки. ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 201408Новости, 201408 → В Android найдена «супердыра нового типа»: Миллионы пользователей в опасности