Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
30 июля 2014, Источник: Ars Technica

В Android обнаружена дыра Fake ID

29 июля сан-францисская компания Bluebox Security обнаружила уязвимость в Android. Дыра в безопасности эксплуатирует отсутствие проверки подлинности криптографических сертификатов устанавливаемых приложений. Она позволяет вредоносным программам получать доступ к личным данным пользователя, читать его почту и историю финансовых транзакций. Уязвимость окрестили Fake ID — по аналогии с фальшивым водительским удостоверением, позволяющим американским подросткам проникать в бары и покупать спиртное.

Нелегитимный сертификат позволяет вредоносному приложению вырваться за пределы так называемой «песочницы» (sandbox). Это изолированный ареал обитания низкоуровневого приложения, который ограничивает доступ к другим приложениям и важным элементам Android. Но если приложение притворяется Adobe Flash или Google Wallet, оно может получить доступ ко всем вашим приложениям под видом флеш-плагина — или к вашим кредитным данным под видом платежного NFC-приложения.

По словам Bluebox Security (намеренной продемонстрировать Fake ID в действии на конференции хакеров Black Hat, которая пройдет 2–5 августа), уязвимость присутствовала в Android с версии 2.1 и с 2010 года. В Android 4.4 вредоносным приложениям не так легко вырваться из песочницы (помимо вышеописанных примеров). Но сама уязвимость оставалась незаткнутой во всех версиях Android после 2.1 — включая Android L.

30 июля Google отреагировала на находку патчем, изменениями Google Play и процедуры верификации приложений. Также представители компании уверяют, что они «просканировали все приложения Google Play и не нашли в них следов эксплуатации уязвимости». Патч (о содержании которого ничего не говорится) предназначен не для самих пользователей, а для «партнеров Google», которые должны будут довести его для конечного потребителя.

Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
9
сергей
это я Максиму писал
СсылкаПожаловаться
сергей
В ответ на комментарий от Maxim Bulakhov История переписки2
Maxim Bulakhov
к системным папкам, тебя просто так не кто не пустит. Download, Music, Bluetooth...пожалуйста.
СсылкаПожаловаться
ничего подобного. например, у htc приложение может само получить рут. правда, это обнаружится почти сразу - вылетит USB-подключение к компу
СсылкаПожаловаться
Жан
Да наверняка специально для спецслужб сделали. по типу АНБ.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru