Обнаружена уязвимость Android позволяющая обойти защиту любого приложения

В последнее время многие пользователи Android как-то расслабились. Все из-за того, что уязвимостей операционной системы стало намного меньше. Хотя, не исключено, что о них просто стали меньше говорить. Это все равно привело к тому, что пользователи начали забывать о том, что такое вирусы, и смелее качать приложения из Google Play. Теперь выясняется, что рано расслабились. Начинать паниковать тоже, конечно, не стоит, но иметь в виду, что почти каждое приложение под угрозой, тоже надо. Что еще интереснее, дело даже не в Android и Google не может одним волевым решением все сразу исправить. Но что же тогда делать и кто вообще в этом виноват? Снова два извечных русских вопроса.

Очередные проблемы Android угрожают очень многим.

По мнению исследователей из Trustwave, пользователи Android по всему миру могут подвергаться риску из-за недавно обнаруженной уязвимости обхода аутентификации, которая может повлиять на любое приложение. И, возможно, Google действительно мало что может с этим поделать, несмотря на то, что это влияет на приложения, скачанные из Google Play. Фактически компания говорит, что в настоящее время невозможно даже определить, насколько широко распространена проблема. И все потому, что дело не в Android.

Проблема, по-видимому, является прямым результатом «плохого программирования» и потенциально может повлиять на любое приложение. Выходит, виноваты сами приложения и их разработчики. Это было бы не так страшно, если бы не могло привести к утечке важной информации пользователей. Это в свою очередь потенциально может привести к компрометации или потере действительно конфиденциальной информации.

Пока широкого распространения использование этой уязвимости не приобрело, но перспективы роста есть. В итоге это может стать большой проблемой для миллионов пользователей.

Google исправит досадный баг с картинками в следующем обновлении Chrome.

Trustwave говорит, что проблема заключается в компонентах, которые позволяют обмениваться сообщениями с другими приложениями. В текущем варианте почти всех приложений ими легко манипулировать. Если все именно так, то такая проблема действительно не может быть решена на уровне Android, и в работу должны включаться сами разработчики.

Если говорить совсем просто, каждое приложение для Android поставляется с файлом AndroidManifest.xml, который можно экспортировать разными способами, но приложения и программное обеспечение являются наиболее распространенными из них. Поскольку с обнаруженными там действиями можно взаимодействовать, злоумышленнику становится легко манипулировать приложениями, заставляя их делать то, чего им делать не следует.

Серьезных багов Android не было уже достаточно давно. Но вот они вернулись.

Trustwave использует пример приложения для обмена сообщениями, созданного компанией для внутреннего использования. В итоге, указанная уязвимость позволила Trustwave войти непосредственно в систему обмена сообщениями без учетных данных. Это дало им возможность получить доступ ко всем сообщениям в системе. Все, что было необходимо, — это доступ к файлу манифеста и способ выполнения действий, таких как ADB.

Злоупотребления уязвимостями могут быть совершенно разными. Например, можно заставить приложение делиться данными, в том числе удаленно, или просто запускать внутри него рекламу. Реклама естественно будет запускаться в рамках возможностей приложения. Но, к примеру, выводить уведомления может почти каждое приложение. Это и есть потенциальный канал нежелательной рекламы. Вопрос в ее эффективности взломщиков мало беспокоит, так как в этом случае они будут брать скорее объемом.

Безопасен ли Google Play так, как о нём говорит Google?

Учитывая особенности уязвимости, Google действительно ничего не может сделать, кроме как разослать разработчикам рекомендации, и в самом крайнем случае начать банить их приложения в своем магазине. Впрочем, на данном этапе это маловероятно, так как перебанить придется буквально всех. Да и масштаб проблемы пока не такой большой, чтобы говорить о необходимости серьезных мер.

Google не сможет исправить проблему уязвимости приложений.

С другой стороны, разработчики сами должны как-то зашевелиться и проявить инициативу, чтобы их пользователи были в безопасности. Одно дело — приложения-однодневки, сделанные в рамках хобби программиста-любителя, и совсем другое — серьезные продукты, сделанные крупными студиями для коммерческих проектов.

Trustwave указывает, что самым простым и потенциально наиболее эффективным решением является ограничение разработчиками экспортируемых компонентов теми, которые действительно необходимы. То есть экспорт надо ограничить только теми компонентами, которые просто обязаны быть доступными для других приложений.

Мы обязательно будем следить за развитием событий и расскажем о том, к чему все это приведет в нашем Google News.

Во-вторых, приложения должны вести самоконтроль для проверки всех данных, полученных в рамках команд обмена. Более того, разработчики должны ограничить источники получения этих команд. Это тоже не даст стопроцентной защиты, но очень существенно снизит риски взлома.

Если такие действия будут предприняты, система в целом станет намного более безопасной. Наверняка все серьезные разработчики уже в курсе проблемы и стараются ее решить. Ну, а небольшие приложения особо никому не интересны, и самое страшное, что с ними могут сделать злоумышленники, это напичкать их рекламой, которой там и так хватает.

Теги
Лонгриды для вас
Экранный сканер отпечатков
Как работает ультразвуковой сканер отпечатков пальцев

Samsung уже не в первый раз в своих смартфонах применяет ультразвуковой сканер отпечатков, встроенный в экран. Конечно, в целом технология крутая и ее надо развивать, но на данном этапе у компании слишком много хейтеров из-за такого решения. В основном критика касается того, что сканер работает очень медленно. Другие производители нашли способ сделать его намного более быстрым и при этом надежным. Лично я жду, что в новом поколении линейки Galaxy S что-то изменится, и компания или ускорит существующий сканер, или начнет применять новый. Пока же давайте разберемся, в чем особенность технологии ультразвукового сканирования отпечатков пальцев, ведь вопросы все еще остаются.

Читать далее
Дожили! Android назвали более безопасным, чем iOS

Каждый спор за превосходство между фанатами Android и iOS, когда все аргументы уже исчерпываются, неизменно сводится к безопасности. Пользователи iOS начинают указывать своим оппонентам на посредственный подход Google к обеспечению их безопасности, обилие вредоносных программ под Android и отсутствие какого-либо контроля за софтом, проникающим в Google Play, не говоря уже об обновлениях, которые Android-смартфоны получают раз в пятилетку. Логично, что никто не ожидал, что Android вот так вдруг окажется даже более защищён, чем iOS.

Читать далее
Игры
Новые игры для Android. Октябрь 2020

На Android всегда есть во что поиграть! Это факт и с этим нет смысла спорить. Но разве не интересно, когда выходит что-то новое? Именно поэтому сегодня поговорим о новых играх, которые можно скачать в Google Play. Они вышли в октябре и пока не набрали большой популярности, но внимания они заслуживают. Игры с открытом миром, онлайн PvP, приключенческие романы и многое другое. Все это будет в сегодняшней подборке крутых новых игр для Android. Будут даже игры про роботов и ролевые игры. В общем, заряжайте ваши гаджеты и давайте уже обсудим новинки, пока они не устарели.

Читать далее
Новый комментарий