Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зловред с доступом к данным программы способен вызвать сбой в ее работе или установить «нехорошее» обновление.
Исследователи из компании Check Point обнаружили новый тип атаки на Android-устройства и показали его на примере приложений Google, Yandex и Xiaomi. Техника получила название «человек в диске» (Man in the Dick, MitD). Она эксплуатирует особенность организации данных во внешней памяти устройства и позволяет злоумышленникам вызывать критические сбои приложений и тайно загружать вредоносное ПО.
Если программы, использующие внутреннюю память Android-смартфона (защищенную зону, в которой работает в том числе сама ОС), недоступны для стороннего ПО, то во внешней памяти этого ограничения нет. Приложения могут запрашивать разрешение на чтение и модификацию данных своих «соседей», и, как правило, пользователь им это разрешение дает.
С помощью специально разработанного зловреда, замаскированного под легитимное приложение, специалисты по информационной безопасности продемонстрировали два сценария атаки на продукты Google, Yandex и Xiaomi. Исследователи подчеркнули, что некоторые из сервисов предустановлены на большинстве Android-устройств, то есть система по умолчанию уязвима.
В случае Google Translate, Google Voice Typing и «Яндекс.Переводчика» экспертам удалось подменить служебные данные и вызвать критический сбой программы. По словам исследователей, в результате такой атаки злоумышленник может выполнить на устройстве сторонний код или получить привилегии уязвимого приложения и эксплуатировать другие бреши.
Второй тип атаки возможен, если приложение при обновлении сохраняет во внешней памяти временные файлы. Эксперты продемонстрировали этот метод на примере Xiaomi Browser. Исследователи подменили временные файлы и установили скомпрометированную версию приложения. Как заявляют аналитики, таким образом на устройство жертвы можно скрытно доставить любое ПО, в том числе вредоносное.
Исследователи отмечают, что приложения уязвимы в первую очередь из-за небрежности программистов. Разработчики приложений, в том числе создатели сервисов Google, не до конца следуют официальному руководству. Согласно этому документу, во внешней памяти запрещено хранить исполняемые файлы приложений, а прочие объекты должны иметь цифровую подпись.
Эксперты утверждают, что выполнение этих правил значительно снизит вероятность MitD-атак. В качестве дополнительных мер они советуют Google ужесточить требования к защите на уровне ОС, чтобы безопасность пользователей не зависела от производителей смартфонов и мобильных разработчиков.
Уязвимости Android, которые позволяют выполнять сторонний код, вызывать отказ в обслуживании или повышать привилегии взломщика, регулярно попадают в ежемесячные наборы патчей Google. Так, в июле компания устранила десятки подобных брешей, включая 11 критических.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |