Большинство устройств под управлением операционной системы Android уязвимы к атаке с использованием новой “дыры”, открытой исследователями компании Bluebox Security. Данная ошибка, названная Fake ID, позволяет приложениям с вредоносным кодом обойти защиту посредством цифровых сертификатов, считающуюся одной из самых надежных, и дает возможность хакерам получать несанкционированный доступ к такой информации приватного характера, как учетные записи, электронная переписка и сведения о платежах.
По данным Bluebox Security, указанная уязвимость присутствует в мобильной платформе Google, начиная с релиза Android 2.1 в начале уже далекого 2010 года, и хотя специалисты постарались как-то нивелировать ее действие в Android 4.4, опасность сохраняется даже в свежей Android L, доступной пока в виде предварительной версии. Ошибка проистекает от неспособности Android надежно проверять подлинность криптографических цифровых сертификатов, используемых для устанавливаемых на мобильный гаджет приложений.
Таким образом, злоумышленники теоретически могут подписывать свои приложения так называемыми самозаверенными сертификатами, что позволяет обходить системы защиты и получать фактически неограниченный доступ к приватным данным. Кроме того, хакеры вполне могут встраивать вредоносный код в приложения, подписанные сертификатами проверенных разработчиков, скажем, той же Adobe. Естественно, эксплойт в подобном случае не встречает никаких защитных барьеров. Пока неясно, что именно делала Google для решения данной проблемы, за исключением ее частичного купирования в Android 4.4.
Источник: ferra
|