В системе Android обнаружена уязвимость, которая оставалась нераскрытой в течение 4 лет

13 июля 2013 20:05
Рабочий стол Android 2.3 с надстройками от Samsung. Изображение: rusvc.ru

Рабочий стол Android 2.3 с надстройками от Samsung. Изображение: rusvc.ru

Уязвимость затрагивает около 900 млн смартфонов и планшетов на базе Android или около 99% от их общего числа, так как содержится во всех версиях начиная с Android 1.6, выпущенной 4 года назад.

Специалисты стартапа Bluebox обнаружили в модели безопасности Android уязвимость, которая позволяет хакеру модифицировать код APK-файла (установочного файла) и превратить в троян любое подлинное приложение, причем это изменение не смогут заметить ни пользователь, ни администраторы каталога, куда это приложение будет загружено, ни само мобильное устройство.

Все Android-приложения содержат криптографические подписи, которые позволяют системе определить подлинность устанавливаемого приложения. Однако данная проверка в различных приложениях выполняется по-разному. Это и лежит в основе уязвимости. Используя ее, хакер может модифицировать приложение без нарушения криптографической подписи.

В зависимости от типа приложения, хакер может использовать уязвимость для любых целей — от кражи данных до создания мобильного ботнета и проникновения в корпоративную систему предприятия.

Более того, хакер может модифицировать приложение, устанавливаемое производителем мобильного устройства, например Samsung или HTC, которое имеет специальные привилегии для работы с системными процессами. Используя эту возможность, злоумышленник может получить полный доступ к системе Android, всем приложениям, учетным записям пользователя, паролям и получить возможность управления любой функцией, включая телефонные звонки, сообщения и камеру.

Уязвимость содержится во всех версиях Android начиная с Android 1.6 под кодовым именем Donut, которая была выпущена 4 года назад, и, таким образом, затрагивает около 900 млн устройств, проданных к текущему дню.

Так как масштаб уязвимости оказался слишком широк, эксперты Bluebox лишь сейчас решили проинформировать общественность, тогда как Google получила сведения об уязвимости еще в феврале 2013 г. О реакции Google на данные сведения не известно.

Владельцам Android-смартфонов и планшетов рекомендуется внимательнее относиться к названию разработчика приложения, которое они планируют установить, а компаниям и организациям, использующими модель «принеси свое собственное устройство» (Bring Your Own Device — BYOD), — регулярно обновлять Android до последней версии, а также внедрять более совершенные механизмы защиты данных.

Ранее уязвимости встречались в Android неоднократно, однако никогда они не имели столь большой масштаб, затрагивающий около 99% устройств, находящихся в эксплуатации. По данным Juniper Networks, пользователи могли бы обезопасить себя более чем от половины вредоносных приложений, если бы использовали последнюю версию Android.

Стартап Bluebox был основан в середине 2012 г. Компания занимается разработкой решения для информационной защиты мобильных устройств. Пока оно не представлено. Объем инвестиций в стартап к настоящему времени составил около $9,5 млн. Среди инвесторов — венчурный фонд Andreessen Horowitz, владеющий акциями Facebook, Groupon и Twitter, и один из основателей Sun Microsystems Андреас фон Бехтольсгейм (Andreas von Bechtolsheim).

Сергей Попсулин — CNEWS

 

Дополнение (от редакции TopWorldNews):

На днях в Google исправили эту уязвимость, однако поскольку производители смартфонов устанавливают свои сборки, патч будет представлен сначала им, а затем они должны выпустить обновление для ПО своих устройств. На это может уйти немало времени, и всё это время пользователи будут подвергаться опасности. Также известно, что обновления в первую очередь предоставляются для последних версий Android и как правило для флагманских моделей, таких как HTC One или Samsung Galaxy S IV. Выйдут ли обновления для таких до сих пор распространённых версий ОС как 2.1 или 2.3, до сих пор неизвестно.

0 комментариевВернуться к записи

Добавить комментарий

Комментарии доступны только зарегистрированым посетителям.

Другие статьиНаверх

Покупка недвижимости с торгов арестованного имущества(0)

  Арестованное имущество – довольно специфический рынок для тех, кто хочет найти выгодные варианты приобретения жилой или коммерческой недвижимости. Отличительной чертой данного сегмента является возможность приобрести объекты недвижимости по привлекательной цене, зачастую значительно ниже, чем на традиционном рынке. Как правило, недвижимость из арестованного имущества тщательно проверяется на наличие юридических проблем, долгов и других негативных факторов,

Идти ли в военкомат по повестке(0)

На дворе ноябрь, а меж тем военкоматы уже активно вызывают молодых людей повестками «для уточнения данных воинского учёта». Меня в последние дни часто спрашивают: «Что делать если в почтовый ящик бросили повестку?»

Земля может потерять свои океаны(0)

На днях в журнале Nature Communications была опубликована статья, в которой были приведены примеры того, как влияет глобальное потепление на землю и к чему все это может привести. Ученные сделали подробную модель земли и запустили процесс по изучению влияние углекислого газа на планету. С ростом температуры количество данного газа так же возрастает. В результате обнаружилось,

Самые богатые депутаты в России(0)

Весной этого года депутаты Госдумы представили декларации своих доходов за 2021 год. Отчитались о своих доходах и так называемые «звездные» депутаты – представители шоу-бизнеса и спорта. Ознакомиться с декларациями депутатов можно на сайте Госудмы.

Китай начал жесткую борьбу с отмыванием денег(0)

Руководство Китая начало крупномасштабную кампанию против отмывания денег и незаконных финансовых транзакций. Агентство Reuters сообщает, что еще в конце прошлого года Центробанк Поднебесной дал местным банкирам тайное поручение – оценить по пятибалльной системе криминальные риски клиентов банков.

Читать далее

Реклама




Архив новостей

Июль 2013
Пн Вт Ср Чт Пт Сб Вс
« Июн   Авг »
1234567
891011121314
15161718192021
22232425262728
293031  

Поделиться

  

Контакты и информация

Социальные сети

Самые популярные разделы


© 2011-2013 TopWorldNews. При использовании материалов сайта обратная гиперссылка обязательна.