Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

Инфостенд

Информационные и справочные материалы
Тел.: +7 (495) 231-4831
Сайт: expo-itsecurity.ru
E-mail: info@infosecurity.ru
Контактная информация: О компании
Регионы работы: Москва
Новость
Новый эксплойт поражает 73% устройств на Android
17 февраля 2014

Новый эксплойт поражает 73% устройств на Android

Google вновь критикуют за отсутствие эффективного механизма обновления Android. Специалисты написали эксплойт, который позволяет хакеру взломать 73% устройств на этой платформе, используя уязвимость годичной давности.


Специалисты по информационной безопасности из компании Rapid7 написали эксплойт, позволяющий взломать 73% устройств под управлением операционной системы Google Android. 

Примечательно, что уязвимость была обнаружена еще в декабре 2012 г. Она находится во встроенном в Android веб-браузере, в компоненте WebView, и позволяет злоумышленнику исполнить на устройстве произвольный код. 

Для заражения устройства необходимо, чтобы его владелец посетил вредоносный сайт. Заставить его сделать это можно различными способами. Исследователи в качестве примера привели вредоносную ссылку, закодированную в QR-коде. Пользователь может считать такой код в любом рекламном объявлении, ничего не подозревая. 

Примечательно, что уязвимость, которой воспользовались специалисты Rapid7, касается устройств любых типов, не только смартфонов и планшетов. Пользователь Джошуа Дрейк (Joshua Drake) сообщил в твиттере, что ему удалось запустить эксплойт на очках Google Glass. 

Процент устройств аналитики вычислили довольно просто. Дело в том, что уязвимость содержится во всех версиях Android ниже 4.2. Цифра была получена из официальной статистики Google. 

Несмотря на то, что в Android 4.2 уязвимость была устранена, риску по-прежнему подвержено большинство пользователей. И именно на это эксперты хотели обратить свое внимание. По их мнению, проблема кроется в отсутствии у Google единого центрального механизма распространения обновлений, как, например, в Microsoft Windows: многие производители не заботятся об обновлении устройств, выпущенных несколько лет назад с предыдущими версиями платформы.

В 2011 г. Google предприняла попытку создания такого механизма - объявив о формировании альянса Android Upgrade Alliance, участники которого - операторы связи - должны были четко соблюдать регламент выпуска новых прошивок в течение первых 1,5 лет после выхода устройства в продажу. Однако эта инициатива не принесла плоды. 

Еще один способ устранения уязвимостей с учетом отсутствия единого центра обновления - периодический выпуск обновленных версий приложений YouTube, Gmail, Maps, Search и т. д. Однако этот метод не позволяет устранять «дыры», содержащиеся в коде самой платформы. Проблема еще заключается в том, что Google позволяет производителям модифицировать Android, то есть не контролирует платформу, как это делает Apple. В сентябре прошлого года Apple, например, за неделю устранила уязвимость, позволяющую обходить парольную защиту. 

Между тем, в июле прошлого года сообщалось о еще более масштабной уязвимости - затрагивающей 99% устройств на Android. Она была обнаружена специалистами компании Bluebox и содержалась во всех версиях Android, начиная с 1.6, выпущенной 4 года назад.

Источник: CNews

Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс