Эксперты компании Bluebox Labs раскрыли данные об уязвимости в Android, разрешающую преступникам приобретать доступ к функциям сматфонов и планшетов и хранящимся на них личным данным без разрешения пользователя.

Три месяца назад Bluebox Labs известила Гугл об данной уязвимости, и компания тут же выпустила патч для ее устранения.

Однако, миллионы пользователей остаются в зоне риска. Дело в том, что уязвимость была устранена только в последней версии Android, а в предположениях начиная с2.1 (Eclair) и впредь до 4.3.1 (Jelly Bean) она так же, как и прежде присутствует. Версия 2.1 была выпущена в январе 2010 г.

В английских изданиях «дыру», отысканную Bluebox Labs, назвали «суперуязвимостью нового типа», по всей видимости, по причине того, что она может привести к распространению очень вредоносного ПО.

Сами аналитики BlueBox наывают ее Fake ID («поддельное удостоверение»), по причине того, что она разрешает одурачить совокупность цифровых автографов (сертификатов) приложений и выдать вредоносное приложение за приложение официального поставщика, которому пользователь уже разрешил доступ к совокупности.

Неприятность содержится в самом ходе проверки сертификатов, растолковал в блоге компании технический директор Bluebox Labs Джефф Фористал (Jeff Forristal). Как пример он привел обстановку, в то время, когда преступник подходит к охране и предъявляет поддельный пропуск, а охрана, посмотрев на пропуск, пускает его в строение, не удосужившись сделать контрольный звонок в работу, которая выдает удостоверения.

Новая уязвимость снова затрагивает миллионы обладателей Android-устройств

«Android не контролирует, вправду ли дочерняя цифровая подпись связана с родительской цифровой подписью, а просто безоговорочно доверяет этому утверждению. Это фундаментальная неприятность самой ОС», — говорит Фористал.

К примеру, приложение объявляет совокупности, что оно было создано компанией Adobe Systems, приводит пример специалист. Android это утверждение не контролирует и наделяет приложение привилегиями, дешёвыми официальным приложениям от Adobe. В следствии хакер может внедрить в совокупность вредоносный код, прикрываясь плагином Flash.

Второй пример содержится в применении сертификата приложения Google Wallet, имеющего доступ к функции NFC.

Либо, к примеру, преступник может воспользоваться правами ПО 3LM, которое HTC, Сони, Sharp и Motorola применяли для кастомизации графических оболочек на производимых устройствах. Взяв привилегии 3LM, преступник может взять права на совершение всех действий, каковые разрешены 3LM, включая установку и удаление приложений любого содержания.

Подобная уязвимость обнаруживается в Android не в впервые. В июле 2014 г. эксперты данной же компании, Bluebox, нашли в ОС баг, разрешающий хакеру модифицировать код установочного APK-файла и перевоплотить в троян любое настоящее приложение. Как сказали специалисты, эта неточность существует на 900 млн устройств под управлением созданной Гугл ОС.

Увлекательные записи:

• В android закрыто больше 100 опасных уязвимостей
• В apple вернулся создатель планшета newton
• В blackberry — новые назначения в совете директоров

Talking Tom and Friends — Epic Tech Fails (Top 5 Episodes)