Уязвимость Android «Fake ID». Что это и как проверить своё устройство

Реальный опыт показывает, что для того, чтобы смартфон был в безопасности, достаточно обычной внимательности, а необходимость антивируса на устройстве сильно переоценена. Тем не менее нам регулярно случается рассказывать вам о той или иной уязвимости, найденной в Android, и обходить эти факты вниманием было бы не правильно. Вот и опять специалисты компании Bluebox нашли очередную угрозу для пользователей Android от версии 2.1 и выше, и назвали ее «Fake ID».

поддельные документы

Fake ID позволяет вредоносным приложениям обойти предусмотренные в ОС от Google системы защиты, фальсифицируя идентификаторы безопасности, что позволяет им получать доступ к учетным данным пользователя, email, истории платежей или другой информации, которую каждый предпочитает держать при себе.

Когда ОС решает, какие особые привилегии предоставить тому или иному приложению, она обращается к его криптографической подписи. Кроме того, возможности приложений ограничивает так называемая песочница, из которой они не могут получить доступ к данным какого-либо другого софта. Как выяснилось, Android не в состоянии проверить правильность такой подписи, а поскольку вплоть до KitKat существует небольшой список приложений, для которых предусмотрен выход за пределы песочницы (вроде Adobe Flash, которому разрешается выступать плагином для любой другой программы), то любому злодею достаточно лишь притвориться одним из таких приложений.

Да, в KitKat у Flash больше нет такого «зеленого коридора», однако «шоколадная версия» зеленого робота, согласно последним данным, установлена лишь на 18% Android-устройств. Кроме того, помимо Flash, есть и другие, а сам принцип оставался неизменным даже в предварительной версии Android L.

В свою очередь, пресс-секретарь Google заявил следующее:

«После того, как мы узнали об этой уязвимости, мы быстро выпустили патч, который был предоставлен для Android-партнеров, а также для AOSP. Google Play и Проверка приложений также были улучшены для защиты пользователей от этой проблемы. В настоящее время мы сканируем все приложения, представленные в Google Play, а также те, которые Google рассмотрела за пределами Google Play, и мы не видим никаких доказательств попытки использования этой уязвимости.»

В частности, сообщается о том, что некоторые устройства Motorola уже получают обновления с этим патчем, в ближайшее время их стоит ждать и от остальных производителей. Тем не менее, учитывая фрагментацию Android, некоторые пользователи могут ждать обновление дольше других, а кто-то, чье устройство в силу своего возраста потеряло поддержку производителя, может его и вовсе не дождаться.

Как бы там ни было, Bluebox выпустила бесплатное приложение, которое подскажет, получило ли уже патч ваше устройство, а также проверит ваши приложения на предмет использования этой уязвимости. Скачать его можно из Google Play.

Теги
Лонгриды для вас
Сколько звезды зарабатывают на YouTube?

YouTube очень резко ворвался в нашу жизнь, затмив привычное советскому человеку телевидение. Если раньше, удачно пошутив, родители отправляли меня заниматься этим в КВН, то современные родители однозначно отправляют своих детей на YouTube. С каждым годом площадка набирает все большую популярность у пользователей и это обусловлено не только монетизацией. В этой статье попробуем оценить сколько зарабатывают звезды на YouTube в России и в мире в целом. Не забудьте подписаться на наш канал и поставить колокольчик. Приятного просмотра.

Читать далее
Чем может быть опасна передача файлов с одного смартфона на другой

Когда возникает вопрос, как передать файл с одного Android-смартфона на другой, ответов как правило бывает слишком много для простого пользователя. Тем более, что большая часть этих ответов является перечислением приложений, которые имеют возможность передачи материалов между устройствами. Вот только это не всегда безопасно и проблемы, которые возникли с ShareIt, являются лишним тому доказательством. Когда мы видим такие новости, это является лишним поводом для того, чтобы поговорить о том, как передавать файлы между устройствами быстро и безопасно. Тем более, что с недавнего времени в Android есть то, что позволяет это делать штатными средствами, но пользователи все равно почему-то продолжают отдавать предпочтение сторонним приложениям.

Читать далее
Google Объектив научился быстро переводить текст со скриншотов

Приложение Google Объектив или Google Lens, если говорить на языке оригинала, давно стало неотъемлемой частью смартфонов многих пользователей. Я даже говорю не про те устройства, где ”Объектив” является частью камеры и интегрирован в штатное приложение. Его можно скачать на любой смартфон и пользоваться тогда, когда захочется. Оно постоянно обрастает новыми функциями и теперь вышла еще одна, которая позволяет переводить текст со скриншотов. Рассказывать о том, когда это может пригодиться, не стоит, лучше показать, как пользоваться новой функцией. Вот этим и займемся. Тем более, что перевод всегда был полезной и актуальной функцией смартфона.

Читать далее
3 комментария
  1. mangrimen

    А что если bluebox и есть FakeID

    • mangrimen

      как нам не сомневаться?

      • Сергей Буровцов

        О_О

Новый комментарий