Уязвимость Android «Fake ID». Что это и как проверить своё устройство

Реальный опыт показывает, что для того, чтобы смартфон был в безопасности, достаточно обычной внимательности, а необходимость антивируса на устройстве сильно переоценена. Тем не менее нам регулярно случается рассказывать вам о той или иной уязвимости, найденной в Android, и обходить эти факты вниманием было бы не правильно. Вот и опять специалисты компании Bluebox нашли очередную угрозу для пользователей Android от версии 2.1 и выше, и назвали ее «Fake ID».

поддельные документы

Fake ID позволяет вредоносным приложениям обойти предусмотренные в ОС от Google системы защиты, фальсифицируя идентификаторы безопасности, что позволяет им получать доступ к учетным данным пользователя, email, истории платежей или другой информации, которую каждый предпочитает держать при себе.

Когда ОС решает, какие особые привилегии предоставить тому или иному приложению, она обращается к его криптографической подписи. Кроме того, возможности приложений ограничивает так называемая песочница, из которой они не могут получить доступ к данным какого-либо другого софта. Как выяснилось, Android не в состоянии проверить правильность такой подписи, а поскольку вплоть до KitKat существует небольшой список приложений, для которых предусмотрен выход за пределы песочницы (вроде Adobe Flash, которому разрешается выступать плагином для любой другой программы), то любому злодею достаточно лишь притвориться одним из таких приложений.

Да, в KitKat у Flash больше нет такого «зеленого коридора», однако «шоколадная версия» зеленого робота, согласно последним данным, установлена лишь на 18% Android-устройств. Кроме того, помимо Flash, есть и другие, а сам принцип оставался неизменным даже в предварительной версии Android L.

В свою очередь, пресс-секретарь Google заявил следующее:

«После того, как мы узнали об этой уязвимости, мы быстро выпустили патч, который был предоставлен для Android-партнеров, а также для AOSP. Google Play и Проверка приложений также были улучшены для защиты пользователей от этой проблемы. В настоящее время мы сканируем все приложения, представленные в Google Play, а также те, которые Google рассмотрела за пределами Google Play, и мы не видим никаких доказательств попытки использования этой уязвимости.»

В частности, сообщается о том, что некоторые устройства Motorola уже получают обновления с этим патчем, в ближайшее время их стоит ждать и от остальных производителей. Тем не менее, учитывая фрагментацию Android, некоторые пользователи могут ждать обновление дольше других, а кто-то, чье устройство в силу своего возраста потеряло поддержку производителя, может его и вовсе не дождаться.

Как бы там ни было, Bluebox выпустила бесплатное приложение, которое подскажет, получило ли уже патч ваше устройство, а также проверит ваши приложения на предмет использования этой уязвимости. Скачать его можно из Google Play.

Теги
Лонгриды для вас
Финальная бета Android 11 уже здесь. Какая в ней пасхалка

Релизная версия Android 11 все ближе, но перед тем, как ее сможет установить любой желающий, надо выпустить последую бета-версию. Так на днях вышла новая Android 11 Beta 3, которая принесла новые функции и долгожданную пасхалку, которой многие ждали и гадали, какой она будет. Получилось так, что ничего принципиально нового в этот раз не вышло, и нам просто показали продолжение того, что уже было в одной из предыдущих версий Android. В этом нет ничего плохого, так как пасхалка не обязательно должна быть чем-то новым. Ее задача в том, чтобы быть интересной и привлекать внимание пользователей своей закулисностью.

Читать далее
Как стереть данные с потерянного или украденного телефона на Android

Потеря смартфона - это очень неприятно. Часто они стоят дорого, и поэтому, когда его украли или он потерялся, человек сильно расстраивается. Но есть еще один неприятный момент во всей этой ситуации. Часто данные в телефоне важнее самого устройства. Как создать резервную копию, многие знают, ведь система предупреждает об этом еще в момент активации смартфона. Куда интереснее, как стереть все, что есть в телефоне, чтобы это никому не досталось и никто не получил доступ к важной информации. Делается это очень легко и для этого надо только выполнить несколько простых действий, о которых мы сегодня и поговорим.

Читать далее
Как Google ускорила обновление смартфонов на Android за последние годы

На Android, в отличие от iOS, не существует такого понятия, как своевременность обновления. Из-за того, что производители вынуждены адаптировать новые версии ОС, такой показатель, как скорость их распространения, в принципе не обсуждается. Пользователи принимают это как должное, ведь для большинства из них важнее, что обновление в принципе добралось до их смартфонов, даже если с момента его релиза времени прошло уже порядком. Но, судя по всему, такое положение вещей не устраивает Google и она делает всё для того, чтобы уйти от него.

Читать далее

3 комментария Оставить свой

  1. mangrimen

    А что если bluebox и есть FakeID

    • mangrimen

      как нам не сомневаться?

      • Сергей Буровцов

        О_О

Новый комментарий