Уязвимости в Android позволяют злоумышленникам устанавливать вредоносные программы
21.09.2011
Прошло более месяца с тех пор, как исследователи сообщили о двух серьёзных уязвимостях в системе безопасности Android, но пока нет никаких данных, когда они будут исправлены в созданной Google операционной системе, которая является самой популярной в мире платформой для смартфонов.
Первая уязвимость позволяет устанавливать приложения без разрешения пользователя. Повышение привилегий даёт возможность взломщикам тайно устанавливать вредоносные программы, подобно тому, как это делал PoC-эксплойт, опубликованный исследователем Джоном Оберхейдом. Тогда приложение, которое он внедрил в Android Market и замаскировал под дополнение для Angry Birds, незаметно устанавливало три дополнительных приложения, которые без предупреждения пользователя контролировали контакты в телефоне, сведения о местонахождении, текстовые сообщения, так что данные могли быть переданы удалённому серверу.
"Экосистема Android Market продолжает быть благоприятной сферой для багов", - написал в электронном письме Джон Оберхейд. "Есть несколько сложных связей между устройствами и серверами Google Market, и они сделаны ещё более сложными и опасными Android Web Market".
Вторая ошибка находится в ядре Linux и позволяет установленным приложениям с ограниченными привилегиями получать полный контроль над устройством. Этот баг содержится в коде, который некоторые производители использовали в наиболее популярных телефонах, включая Nexus S. Уязвимость подрывает механизм защиты, созданный разработчиками Google чтобы сдержать тот вред, который приложение может нанести любому телефону.
Оберхейд и его коллега Зах Ланьер планируют рассказать больше об этих уязвимостях в ноябре на двухдневном учебном курсе на конференции SOURCE в Барселоне. В то же время они сделали короткий видеоролик, показывающий их эксплойт в действии.
Представитель Google вежливо отказался комментировать это сообщение.
