Уязвимость Android «Fake ID». Что это и как проверить своё устройство

Реальный опыт показывает, что для того, чтобы смартфон был в безопасности, достаточно обычной внимательности, а необходимость антивируса на устройстве сильно переоценена. Тем не менее нам регулярно случается рассказывать вам о той или иной уязвимости, найденной в Android, и обходить эти факты вниманием было бы не правильно. Вот и опять специалисты компании Bluebox нашли очередную угрозу для пользователей Android от версии 2.1 и выше, и назвали ее «Fake ID».

поддельные документы

Fake ID позволяет вредоносным приложениям обойти предусмотренные в ОС от Google системы защиты, фальсифицируя идентификаторы безопасности, что позволяет им получать доступ к учетным данным пользователя, email, истории платежей или другой информации, которую каждый предпочитает держать при себе.

Когда ОС решает, какие особые привилегии предоставить тому или иному приложению, она обращается к его криптографической подписи. Кроме того, возможности приложений ограничивает так называемая песочница, из которой они не могут получить доступ к данным какого-либо другого софта. Как выяснилось, Android не в состоянии проверить правильность такой подписи, а поскольку вплоть до KitKat существует небольшой список приложений, для которых предусмотрен выход за пределы песочницы (вроде Adobe Flash, которому разрешается выступать плагином для любой другой программы), то любому злодею достаточно лишь притвориться одним из таких приложений.

Да, в KitKat у Flash больше нет такого «зеленого коридора», однако «шоколадная версия» зеленого робота, согласно последним данным, установлена лишь на 18% Android-устройств. Кроме того, помимо Flash, есть и другие, а сам принцип оставался неизменным даже в предварительной версии Android L.

В свою очередь, пресс-секретарь Google заявил следующее:

«После того, как мы узнали об этой уязвимости, мы быстро выпустили патч, который был предоставлен для Android-партнеров, а также для AOSP. Google Play и Проверка приложений также были улучшены для защиты пользователей от этой проблемы. В настоящее время мы сканируем все приложения, представленные в Google Play, а также те, которые Google рассмотрела за пределами Google Play, и мы не видим никаких доказательств попытки использования этой уязвимости.»

В частности, сообщается о том, что некоторые устройства Motorola уже получают обновления с этим патчем, в ближайшее время их стоит ждать и от остальных производителей. Тем не менее, учитывая фрагментацию Android, некоторые пользователи могут ждать обновление дольше других, а кто-то, чье устройство в силу своего возраста потеряло поддержку производителя, может его и вовсе не дождаться.

Как бы там ни было, Bluebox выпустила бесплатное приложение, которое подскажет, получило ли уже патч ваше устройство, а также проверит ваши приложения на предмет использования этой уязвимости. Скачать его можно из Google Play.

Теги
Читайте также
Как Microsoft помогает Google делать Android лучше

Принято считать, что Google является единоличным властителем Android, который вправе влиять на ход развития операционной системы, но это и близко не так. Мало того, что открытость платформы позволяет производителям смартфонов самостоятельно кастомизировать её так, как им захочется, так ещё и сторонние компании периодически присоединяются к Google в рамках какого-нибудь проекта и занимаются совершенствованием Android вместе с ней. Конечно, такое происходит не часто, но, если уж происходит, сулит операционке кардинальными переменами.

Читать далее
Что будет, если Huawei не сможет выпускать свой процессор

Что должен делать производитель смартфонов, если у него не будет возможности устанавливать в свои смартфоны процессоры? Это только так кажется, что процессор является чем-то, что легко купить или установить, но, как показывает практика, дела с этим могут обстоять намного сложнее. Например, Huawei, которую не смогли ”задушить” запретом на работу с Android, сейчас добивают запретом на разработку собственных процессоров. При этом формулировка очень витиеватая. Конечно, компания не останется без процессора полностью, но высокопроизводительных чипов, какие у нее были раньше, она может лишиться. Что дальше? Белый флаг и поражение?

Читать далее
Почему не стоит кастомизировать Android

Кастомизация всегда считалась одним из главных преимуществ Android над iOS. Благодаря открытости мобильной ОС от Google пользователи могли самостоятельно вносить в неё изменения, подстраивая интерфейс и функциональные возможности – что называется – под себя. Сделать это можно было разными способами. Одни для этого делали рут и вносили изменения прямо в программный код, другие устанавливали стороннюю прошивку, а третьи, не ища сложных путей, кастомизировали операционку по минимуму с помощью софта из Google Play. Однако такие забавы могут представлять опасность и для самого смартфона, и для его владельца.

Читать далее

3 комментария Оставить свой

  1. mangrimen

    А что если bluebox и есть FakeID

Новый комментарий