Пятница, 24 ноября 2017 16 +   Подписка на обновления  RSS  Письмо редактору
Популярно
В Android обнаружена серьезная уязвимость
3:35, 11 августа 2015

В Android обнаружена серьезная уязвимость


Эксперты по информационной безопасности сообщили об обнаружении в Android уязвимости, позволяющей злоумышленникам выдавать вредоносные приложения за подлинные программы известных поставщиков. В апреле Google устранила эту ошибку.

Тем не менее, в зоне риска остаются миллионы пользователей, купившие устройства начиная с 2010 г. В англоязычных изданиях новую ошибку назвали «суперуязвимостью нового типа». Специалисты компании Bluebox Labs раскрыли информацию об уязвимости в Android, позволяющую злоумышленникам получать доступ к функциям сматфонов и планшетов и хранящимся на них личным данным без разрешения пользователя.

Три месяца назад Bluebox Labs известила Google об этой уязвимости, и компания тут же выпустила патч для ее устранения. Тем не менее, миллионы пользователей остаются в зоне риска. Дело в том, что уязвимость была устранена лишь в последней версии Android, а в версиях начиная с 2.1 (Eclair) и вплоть до 4.3.1 (Jelly Bean) она по-прежнему присутствует.

Версия 2.1 была выпущена в январе 2010 г. В англоязычных изданиях уязвимость, найденную Bluebox Labs, назвали «суперуязвимостью нового типа», видимо, потому что она может привести к распространению чрезвычайно вредоносного ПО.

Сами аналитики BlueBox наывают ее Fake ID («поддельное удостоверение»), потому что она позволяет обмануть систему цифровых подписей (сертификатов) приложений и выдать вредоносное приложение за приложение официального поставщика, которому пользователь уже разрешил доступ к системе.

Проблема заключается в самом процессе проверки сертификатов, объяснил в блоге компании технический директор Bluebox Labs Джефф Фористал (Jeff Forristal). В качестве примера он привел ситуацию, когда грабитель подходит к охране и предъявляет поддельный пропуск, а охрана, взглянув на пропуск, пускает его в здание, не удосужившись сделать контрольный звонок в службу, которая выдает удостоверения.

«Android не проверяет, действительно ли дочерняя цифровая подпись связана с родительской цифровой подписью, а просто безоговорочно доверяет этому утверждению. Это фундаментальная проблема самой операционной системы», — говорит Фористал. Например, приложение объявляет системе, что оно было создано компанией Adobe Systems, приводит пример эксперт.

Android это утверждение не проверяет и наделяет приложение привилегиями, доступными официальным приложениям от Adobe. В результате хакер может внедрить в систему вредоносный код, прикрываясь плагином Flash. Другой пример заключается в использовании сертификата приложения Google Wallet, имеющего доступ к функции NFC.

Об авторе: profiremont


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2017 Информационно новостные статьи