Эта статья является гостевым постом, и взгляды автора полностью принадлежат ему. Это может или не может отражать точку зрения Trendblog.
Это должно было случиться рано или поздно. По словам исследователей из компании по безопасности Bluebox, недавно обнаруженная уязвимость делает большинство устройств Android незащищенными и открытыми для злонамеренных атак.
Представляем дефект «Fake ID»
Ошибка, теперь называемая «Fake ID», по-видимому, использует недостатки в процедурах проверки приложений, чтобы получить разрешение для функций, которые в противном случае были бы доступны только для доверенных приложений. Недостаток легко использовать в старых версиях ОС Android.
Прежде чем приложение действительно может быть установлено на устройстве под управлением Android, оно должно быть подписано цифровым сертификатом, который означает, что контент получен из надежного и утвержденного источника. Это предотвращает доступ злоумышленников к различным устройствам.
Большинство процессов проверки предназначены для работы в цепочке, проверяя каждый сертификат, назначенный приложению, которого обычно много, чтобы убедиться, что все поступает из одного и того же безопасного и надежного источника. Однако платформа Android работает не так, и именно так стороны могут воспользоваться. Все, что им нужно сделать, это включить сертификаты для другого приложения, и вредоносные программы могут кататься на коньках, выступая в качестве доверенной службы.
Фактический недостаток дизайна связан с Adobe Flash, который Google прекратил использовать в более новых версиях платформы. Плагин привилегий или сертификат, связанный с Flash, может получить доступ к устройству через браузер. Вредоносные программы могут включать сертификат в сторонние приложения, что позволяет им отображаться в системе как Adobe Flash, что означает, что они получают разрешение на доступ к конфиденциальным данным.
Хуже того, когда используется доверенный сертификат, приложение обычно не требует ввода данных пользователем для получения доступа к данным, контенту или оборудованию. Другими словами, специальные разрешения почти всегда предоставляются без вопросов — при условии, что сертификаты кажутся в порядке — и приложения могут делать все, что пожелают. В этом случае хакеры могут получить доступ ко всему, что сможет Adobe Flash.
Джефф Форристал (Jeff Forristal), технический директор Bluebox, говорит, что «вредоносным программам очень и очень легко использовать эту атаку — она тихая, прозрачная, без уведомлений для пользователей»
Если у вас есть более новый устройство под управлением Android 4.4 или выше, тогда вы в безопасности. Google фактически исправил уязвимость вскоре после того, как она была обнаружена. Тем не менее, устройства под управлением более старых версий Android все еще находятся в опасности. Верьте или нет, статистика от Google показывает, что почти 82% всех Android-устройств на рынке работают под управлением версии ОС ранее 4.4, что означает, что есть много людей в опасности.
Что ты можешь сделать?
Если на устройстве установлена более старая версия ОС, ничего не поделаешь, так как потребители должны ждать, пока их мобильные операторы и производители устройств выпустят обновления программного обеспечения для своих устройств — процесс занимает много времени и не часто , Кроме того, в отличие от многих других платформ, нет никаких надежных методов обнаружения хакеров через Android. С помощью традиционных компьютеров и безопасных сетей можно обнаруживать угрозы, прежде чем они смогут причинить какой-либо вред. В Android пока нет таких мер.
Тем не менее, Google говорит, что никто не пытался использовать эту уязвимость. Возможно, более точное описание состоит в том, что нет никаких доказательств того, что такая вещь еще произошла — ключевое слово «еще».
Представитель Google опубликовал это заявление об уязвимости:
«В настоящее время мы отсканировали все приложения, представленные в Google Play, а также приложения, просмотренные Google из-за пределов Google Play, и мы не обнаружили никаких доказательств попыток использования этой уязвимости».
Bluebox фактически уведомил Google о недостатке дизайна более трех месяцев назад, но потребители только сейчас слышат о проблеме. Только время покажет, сможет ли кто-либо получить доступ к конфиденциальным данным через уязвимость и нанести ущерб, если это произойдет — не позволяйте этому случиться с вами.
Кайла Мэтьюз является участником Trendblog со страстью к мобильным технологиям и онлайн-приложениям. Следуйте за ней в Google+ и Twitter, чтобы прочитать все ее последние сообщения!
