Обнаружена уязвимость Android позволяющая обойти защиту любого приложения

В последнее время многие пользователи Android как-то расслабились. Все из-за того, что уязвимостей операционной системы стало намного меньше. Хотя, не исключено, что о них просто стали меньше говорить. Это все равно привело к тому, что пользователи начали забывать о том, что такое вирусы, и смелее качать приложения из Google Play. Теперь выясняется, что рано расслабились. Начинать паниковать тоже, конечно, не стоит, но иметь в виду, что почти каждое приложение под угрозой, тоже надо. Что еще интереснее, дело даже не в Android и Google не может одним волевым решением все сразу исправить. Но что же тогда делать и кто вообще в этом виноват? Снова два извечных русских вопроса.

Очередные проблемы Android угрожают очень многим.

По мнению исследователей из Trustwave, пользователи Android по всему миру могут подвергаться риску из-за недавно обнаруженной уязвимости обхода аутентификации, которая может повлиять на любое приложение. И, возможно, Google действительно мало что может с этим поделать, несмотря на то, что это влияет на приложения, скачанные из Google Play. Фактически компания говорит, что в настоящее время невозможно даже определить, насколько широко распространена проблема. И все потому, что дело не в Android.

Проблема, по-видимому, является прямым результатом «плохого программирования» и потенциально может повлиять на любое приложение. Выходит, виноваты сами приложения и их разработчики. Это было бы не так страшно, если бы не могло привести к утечке важной информации пользователей. Это в свою очередь потенциально может привести к компрометации или потере действительно конфиденциальной информации.

Пока широкого распространения использование этой уязвимости не приобрело, но перспективы роста есть. В итоге это может стать большой проблемой для миллионов пользователей.

Google исправит досадный баг с картинками в следующем обновлении Chrome.

Trustwave говорит, что проблема заключается в компонентах, которые позволяют обмениваться сообщениями с другими приложениями. В текущем варианте почти всех приложений ими легко манипулировать. Если все именно так, то такая проблема действительно не может быть решена на уровне Android, и в работу должны включаться сами разработчики.

Если говорить совсем просто, каждое приложение для Android поставляется с файлом AndroidManifest.xml, который можно экспортировать разными способами, но приложения и программное обеспечение являются наиболее распространенными из них. Поскольку с обнаруженными там действиями можно взаимодействовать, злоумышленнику становится легко манипулировать приложениями, заставляя их делать то, чего им делать не следует.

Серьезных багов Android не было уже достаточно давно. Но вот они вернулись.

Trustwave использует пример приложения для обмена сообщениями, созданного компанией для внутреннего использования. В итоге, указанная уязвимость позволила Trustwave войти непосредственно в систему обмена сообщениями без учетных данных. Это дало им возможность получить доступ ко всем сообщениям в системе. Все, что было необходимо, — это доступ к файлу манифеста и способ выполнения действий, таких как ADB.

Злоупотребления уязвимостями могут быть совершенно разными. Например, можно заставить приложение делиться данными, в том числе удаленно, или просто запускать внутри него рекламу. Реклама естественно будет запускаться в рамках возможностей приложения. Но, к примеру, выводить уведомления может почти каждое приложение. Это и есть потенциальный канал нежелательной рекламы. Вопрос в ее эффективности взломщиков мало беспокоит, так как в этом случае они будут брать скорее объемом.

Безопасен ли Google Play так, как о нём говорит Google?

Учитывая особенности уязвимости, Google действительно ничего не может сделать, кроме как разослать разработчикам рекомендации, и в самом крайнем случае начать банить их приложения в своем магазине. Впрочем, на данном этапе это маловероятно, так как перебанить придется буквально всех. Да и масштаб проблемы пока не такой большой, чтобы говорить о необходимости серьезных мер.

Google не сможет исправить проблему уязвимости приложений.

С другой стороны, разработчики сами должны как-то зашевелиться и проявить инициативу, чтобы их пользователи были в безопасности. Одно дело — приложения-однодневки, сделанные в рамках хобби программиста-любителя, и совсем другое — серьезные продукты, сделанные крупными студиями для коммерческих проектов.

Trustwave указывает, что самым простым и потенциально наиболее эффективным решением является ограничение разработчиками экспортируемых компонентов теми, которые действительно необходимы. То есть экспорт надо ограничить только теми компонентами, которые просто обязаны быть доступными для других приложений.

Мы обязательно будем следить за развитием событий и расскажем о том, к чему все это приведет в нашем Google News.

Во-вторых, приложения должны вести самоконтроль для проверки всех данных, полученных в рамках команд обмена. Более того, разработчики должны ограничить источники получения этих команд. Это тоже не даст стопроцентной защиты, но очень существенно снизит риски взлома.

Если такие действия будут предприняты, система в целом станет намного более безопасной. Наверняка все серьезные разработчики уже в курсе проблемы и стараются ее решить. Ну, а небольшие приложения особо никому не интересны, и самое страшное, что с ними могут сделать злоумышленники, это напичкать их рекламой, которой там и так хватает.

Теги
Лонгриды для вас
Аврора
Аврора ОС — что это за операционка и может ли она заменить Android в России

Последняя неделя была, пожалуй, самой пугающей для российских пользователей. Компании и сервисы стали уходить из нашей страны с такой скоростью, что многие поневоле начали думать о самом худшем. MasterCard и Visa, IKEA и Netflix, TikTok и Apple - а что дальше? Учитывая, как стремительно развиваются события, удивляться уже нечему. Поэтому в какой-то момент пользователи даже начали делать ставки, кто уйдёт из России следующим? Выбор, как ни странно, пал на Google, которая уже ограничила работу Google Pay и отключила возможность оплаты приложений в Google Play. Стало быть, теперь в России просто заблокируют Android?

Читать далее
VPN
Нужно ли выключать VPN и что будет, если этого не делать

За последние несколько месяцев суммарная аудитория VPN-сервисов в России выросла просто в десятки раз. Если быть до конца точным, то примерно в 50. У каждого была своя цель. Одни скачали VPN на случай, если их запретят. Другие начали пользоваться ими для обхода блокировок Роскомнадзора. А третьи - для доступа к ресурсам, которые официально ушли из России. Но, как бы там ни было, практика показывает, что большинство просто не имеет представления о том, как правильно пользоваться VPN и можно ли держать его включенным всегда.

Читать далее
MIUI 13
3 функции MIUI 13, о которых многие забывают

MIUI, как и следовало ожидать, распространяется в несколько волн. Во второй волне будет еще 13 устройств Xiaomi, например, Xiaomi Mi 10 и Xiaomi Mi 10 Pro. Они получат стабильную MIUI 13 следом за ранее объявленными устройствами. Сама операционная система улучшает защиту конфиденциальности пользователей и стабильность системы. Она также получает некоторые другие приятные и полезные функции. Например, защиту от мошенничества, новую защиту проверки лица и другие возможности. Кроме того, у нас есть новые шрифты, обои, виджеты и тому подобное. Однако сейчас не об этом и слишком много говорить о самом обновлении мы не будем. Вместо этого мы рассмотрим функции, которые пользователи, похоже, игнорируют - функции в центре управления MIUI 13. Среди них есть те, которые действительно нужны пользователям. Вот три самые интересные из них.

Читать далее
Новый комментарий