В платформе Android найдена уязвимость, с помощью которой злоумышленники могут получить контроль над устройством, повысить свои права и извлечь данные других приложений. Ей подвержены 95,4 процента существующих устройств.
В марте компания Skycure рассказала об опасности, которую представляет функция Android, позволяющая пользователю рисовать на прозрачном слое поверх другого приложения.
Проблема связана с тем, что слой для рисования вовсе не обязан быть прозрачным. Более того, он может избирательно пропускать касания пользователя. Ничто не мешает вредоносному приложению создать слой для рисования, который с точки зрения пользователя неотличим от полноэкранной игры, и передавать нажатия другой программе.
Чтобы продемонстрировать свою идею, в Skycure разработали игру по мотивам мультфильма «Рик и Морти». В действительности она представляет собой непрозрачный слой для рисования над интерфейсом настроек Android Acessibility Service. Игра предлагает игроку нажимать на различные точки экрана, под которыми скрыты элементы интерфейса настроек. В результате пользователь своими руками передаёт контроль над устройством злоумышленнику.
Судя по всему, разработчики Android давно знают о существовании такой проблемы. Пятая версия платформы (Lollipop) не позволяет подтверждать изменение настроек, если кнопка «ОК» прикрыта слоем для рисования. Но на днях в Skycure придумали, как обойти и эту меру защиты. Оказывается, для этого достаточно оставить над кнопкой небольшое прозрачное отверстие.
Такой метод может быть использован трояном-вымогателем: сначала он обманом вынудит пользователя повысить вредоносной программе права, а затем зашифрует содержимое накопителя и потребует выкуп.
В Skycure утверждают, что уязвимости подвержены все версии Android, кроме шестой (Marshmallow). Речь идёт об 1,34 миллиарде устройств.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?