Однако специалисты в области IT-безопасности из Bluebox Labs нашли в операционной системе Android суровую уязвимость. Используя ее, злоумышленники могут получить доступ к пользовательским данным на мобильном устройстве, в том числе к денежной инфы в Гугл Wallet. Компанию Гугл уведомили об уязвимости, но закрывающий ее патч был выпущен только для животрепещущей версии ОС.
Уязвимость была найдена во всех версиях Android начиная с 2.1 (Eclair). Обладатели устройств под управлением Android KitKat могут ощущать себя в безопасности, а вот миллионы планшетов и телефонов с более ранешними версиями ОС находятся в группе риска.
В Bluebox Labs уязвимость окрестили Fake ID. Она позволяет «обмануть» ОС, и в частности, метод проверки цифровых подписей приложений, выдав вредное ПО за законное от официального разработчика с следующим получением доступа к операционной системе. В данном случае речь идет о «родительских» и «дочерних» сертификатах, передает The Guardian.
Android не инспектирует, как и кем выдается последний тип цифровой подписи, просто «доверяя» утверждению программки о том, что предоставленная «дочерняя» подпись связана с «родительской» и является истинной. В итоге неведомое ПО может выдать себя за программное обеспечение Adobe, к примеру, и получить надлежащие привилегии для внедрения вредоносов в систему.
Если принимать во внимание статистику самой Гугл, получившая заплату безопасности операционная система Android KitKat установлена только на 17,9% всех Android-устройств. Все другие, согласно выводам Bluebox Labs, открыты для обнаруженной уязвимости. Однако...
0 коммент.:
Отправить комментарий