Обнаружена уязвимость Android позволяющая обойти защиту любого приложения

В последнее время многие пользователи Android как-то расслабились. Все из-за того, что уязвимостей операционной системы стало намного меньше. Хотя, не исключено, что о них просто стали меньше говорить. Это все равно привело к тому, что пользователи начали забывать о том, что такое вирусы, и смелее качать приложения из Google Play. Теперь выясняется, что рано расслабились. Начинать паниковать тоже, конечно, не стоит, но иметь в виду, что почти каждое приложение под угрозой, тоже надо. Что еще интереснее, дело даже не в Android и Google не может одним волевым решением все сразу исправить. Но что же тогда делать и кто вообще в этом виноват? Снова два извечных русских вопроса.

Очередные проблемы Android угрожают очень многим.

По мнению исследователей из Trustwave, пользователи Android по всему миру могут подвергаться риску из-за недавно обнаруженной уязвимости обхода аутентификации, которая может повлиять на любое приложение. И, возможно, Google действительно мало что может с этим поделать, несмотря на то, что это влияет на приложения, скачанные из Google Play. Фактически компания говорит, что в настоящее время невозможно даже определить, насколько широко распространена проблема. И все потому, что дело не в Android.

Проблема, по-видимому, является прямым результатом «плохого программирования» и потенциально может повлиять на любое приложение. Выходит, виноваты сами приложения и их разработчики. Это было бы не так страшно, если бы не могло привести к утечке важной информации пользователей. Это в свою очередь потенциально может привести к компрометации или потере действительно конфиденциальной информации.

Пока широкого распространения использование этой уязвимости не приобрело, но перспективы роста есть. В итоге это может стать большой проблемой для миллионов пользователей.

Google исправит досадный баг с картинками в следующем обновлении Chrome.

Trustwave говорит, что проблема заключается в компонентах, которые позволяют обмениваться сообщениями с другими приложениями. В текущем варианте почти всех приложений ими легко манипулировать. Если все именно так, то такая проблема действительно не может быть решена на уровне Android, и в работу должны включаться сами разработчики.

Если говорить совсем просто, каждое приложение для Android поставляется с файлом AndroidManifest.xml, который можно экспортировать разными способами, но приложения и программное обеспечение являются наиболее распространенными из них. Поскольку с обнаруженными там действиями можно взаимодействовать, злоумышленнику становится легко манипулировать приложениями, заставляя их делать то, чего им делать не следует.

Серьезных багов Android не было уже достаточно давно. Но вот они вернулись.

Trustwave использует пример приложения для обмена сообщениями, созданного компанией для внутреннего использования. В итоге, указанная уязвимость позволила Trustwave войти непосредственно в систему обмена сообщениями без учетных данных. Это дало им возможность получить доступ ко всем сообщениям в системе. Все, что было необходимо, — это доступ к файлу манифеста и способ выполнения действий, таких как ADB.

Злоупотребления уязвимостями могут быть совершенно разными. Например, можно заставить приложение делиться данными, в том числе удаленно, или просто запускать внутри него рекламу. Реклама естественно будет запускаться в рамках возможностей приложения. Но, к примеру, выводить уведомления может почти каждое приложение. Это и есть потенциальный канал нежелательной рекламы. Вопрос в ее эффективности взломщиков мало беспокоит, так как в этом случае они будут брать скорее объемом.

Безопасен ли Google Play так, как о нём говорит Google?

Учитывая особенности уязвимости, Google действительно ничего не может сделать, кроме как разослать разработчикам рекомендации, и в самом крайнем случае начать банить их приложения в своем магазине. Впрочем, на данном этапе это маловероятно, так как перебанить придется буквально всех. Да и масштаб проблемы пока не такой большой, чтобы говорить о необходимости серьезных мер.

Google не сможет исправить проблему уязвимости приложений.

С другой стороны, разработчики сами должны как-то зашевелиться и проявить инициативу, чтобы их пользователи были в безопасности. Одно дело — приложения-однодневки, сделанные в рамках хобби программиста-любителя, и совсем другое — серьезные продукты, сделанные крупными студиями для коммерческих проектов.

Trustwave указывает, что самым простым и потенциально наиболее эффективным решением является ограничение разработчиками экспортируемых компонентов теми, которые действительно необходимы. То есть экспорт надо ограничить только теми компонентами, которые просто обязаны быть доступными для других приложений.

Мы обязательно будем следить за развитием событий и расскажем о том, к чему все это приведет в нашем Google News.

Во-вторых, приложения должны вести самоконтроль для проверки всех данных, полученных в рамках команд обмена. Более того, разработчики должны ограничить источники получения этих команд. Это тоже не даст стопроцентной защиты, но очень существенно снизит риски взлома.

Если такие действия будут предприняты, система в целом станет намного более безопасной. Наверняка все серьезные разработчики уже в курсе проблемы и стараются ее решить. Ну, а небольшие приложения особо никому не интересны, и самое страшное, что с ними могут сделать злоумышленники, это напичкать их рекламой, которой там и так хватает.

Теги
Читайте также
Хайп или забота: чехлы Samsung будут бороться с коронавирусом

В то время, как весь мир борется с коронавирусом, любое обещание помочь в этом деле приносит выгоду. Иногда компании делают это из идейных убеждений, но многие просто перегибают в своем стремлении попиариться на данной теме. Сейчас появилось сообщение, что чехлы Samsung смогут бороться с коронавирусом и побеждать его. Остается только понять, как это работает и надо ли об этом говорить, как о действенном средстве профилактики. Конечно, простые пользователи не могут проверить, убивает ли новый чехол коронавирус или нет, но Samsung не та компания, которая будет обманывать. Хотя…

Читать далее
Вышло приложение, которое переносит на Android диагностическую функцию Apple Watch

Несмотря на то что на общедоступная прошивка Apple Watch включает в себя минимум диагностических функций, исследования учёных показали, что это очень перспективный гаджет. Умные часы Apple уже сейчас имеют необходимое оборудование, чтобы выявлять гипертонию, диабет на ранней стадии, измерять уровень кислорода в крови и определять даже такие расстройства, как апноэ во сне. Удивительно, правда? Но, в сущности, ничего такого уж сверхъестественного тут нет, ведь часы просто грамотно задействуют самые обычные датчики, которые есть в любом смартфоне, которые тоже можно научить диагностике.

Читать далее
Как на любом Android сделать пункт управления из MIUI 12

Я никогда не пользовался смартфонами Xiaomi, осознанно стараясь избегать их из-за большого количества недостатков. Регулярные проблемы с обновлениями, запрет на перепрошивки и посредственное качество некоторых аппаратов делают своё дело. Однако прошивка MIUI, которую смартфоны Xiaomi используют по умолчанию, - едва ли не единственное, за что их можно любить. Собственно говоря, именно благодаря ей бренд как таковой и стал известен во всём мире. Поэтому логично, что многим хочется, не покупая смартфон Xiaomi, воплотить MIUI у себя. Это не так сложно.

Читать далее

Новый комментарий