Пользователь
0,0
рейтинг
4 ноября 2012 в 19:39

Разработка → Фишинг в Android

Исследователи из факультета компьютерных наук университета Северной Каролины обнаружили уязвимость в исходных кодах Android Open Source Project, которая позволяет злоумышленнику создать приложение, которое без каких-либо разрешений может получить доступ к личным данным на устройстве.

На видео ниже показано некое злонамеренное демо-приложение, загружаемое пользователем из интернета, и которое устанавливается на смартфон с Android 4.1. При этом, как видно, приложение не требует никаких разрешений (permissions) от пользователя и в этом смысле выглядит как абсолютно безопасное. Затем при помощи приложения отсылается SMS, в ответ на которое приходит сообщение с номера, который находится в списке контактов пользователя.




Таким образом, злоумышленнику оказывается возможным отправлять на заражённое устройство SMS с «легального» номера, которое может содержать просьбу о выполнении, например, каких-либо финансовых операций или с просьбой сообщить пароль «службе безопасности банка», или перезвонить на премиум-номер.

В Google признали проблему, которой подвержены все версии Android; мало того, как говорят исследователи, в компании на запрос о проблеме ответили буквально через 10 минут и уже через два дня проблема была подтверждена инженерами поискового гиганта, и её решение будет включено в релизы будущих версий Android.

[Источник]
Евгений @jeston
карма
80,2
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (17)

  • –43
    Это андроид, Это нормально.
    • +6
      Тут раскопали в исходниках отлично. И то представьте, андроид использует большее кол-во пользователей чем iOS. А теперь представьте, что на айос выпустят приложение в котором где нить в нативном коде затеряется код использующих подобную дыру — и ведь хакеры смогут использовать эту дыру достаточно долго — т.к.в умелых руках эта дыра может быть долго не замеченной.

      А тут дыру нашли вовсе не хакеры, а ислледователи. Т.е. любой человек умеющий читать код вполне может заняться проверкой и раскопать кучу дыр. В то время как на iOS хакеры могут пособирать 2 десятка дыр и по очереди их использовать, когда предыдущую фиксят.

      И я так и не понял, эта штука может только смс отправлять или что? Я верно понимаю, что все девайсы до 4.2 мигом становятся уязвимы для этой проблемы? Вспоминаю размышления по поводу обновления от гугла — если бы гугл использовал аналог репозиториев в андроиде, то можно было бы тогда применить баг фикс ко всем версиям андроида и выкинуть в репозиторий обновленный пакет под разные версии.
      А так выходит все девайсы подвержены. Официальный метод защиты — купить нексус4 на который скоро выйдет фикс. Ну либо шить 4.2.1 или как он там будет. Проблема чувствуется серьезная.

      Кстати еще один плюс планшетам без 3G, телефон раздает только интернет, а большая часть софта на планшете будет. В итоге всякие смс посылаться не будут.

      Хотя вот! Решение! Гугл же хотел сделать антивирус в маркете? Ну так значит можно просто блокировать приложения с данным эксплоитом. А сторонние установки — гугл и так предупреждает об их опасности.
      • +6
        Исследователи — это и есть хакеры. Просто у этих хакеров интерес другой.
      • 0
        Вроде как делает только фэйковое сообщение без реальной отправки куда-либо.
      • +2
        Вот же было про ios и про фонарик отправляющий sms habrahabr.ru/company/pt/blog/155937/.
        Никто не застрахован от ошибок и очень жаль, что google не обновляет Android как Chrome.
  • 0
    Насколько я понял, SMS тут вообще не причём. Приложение кидает уведомление о «пришедшем SMS», которое открывает фейковое activity, внешне похожую на встроенное приложение SMS. По принципу работы это сродни всплывающему окну «ваш компьютер заражён, скачайте наш антивирус» в десктопном браузере. Никакой «уязвимости в исходных кодах» в этом нет, но не очень понятно, как этот способ можно устранить.
    • 0
      не похоже на фейковое activity. Скорее, они как-то имитируют получение SMS-ки, может сами и уведомление кидают, да, но открывается родное приложение для SMS-ок. Но, разумеется, ничего никуда не посылается — там в видео это явно подчеркивается, что в апарате нет SIM-карты.
      • 0
        Видимо дыра не в самом андроиде, а именно в приложении SMS сообщений. То есть к нему можно как то обратиться, чтобы оно подумало, что ему пришло сообщение. Думаю удаление встроенной программы и установка сторонней может решить проблему. Можно MIUI вовсе не подвержен.
        • +2
          Root Call Blocker стирает смс на стадии приёма так, что аппапат пискнуть не успевает. С другой стороны человек может из журнала RCB скопировать смс в телефон и, вуаля, — в телефоне «ниоткуда» возникает СМС!
          Это не новый функционал.
  • +7
    Даже если поправят дырку в AOSP, то сколько же девайсов не получат обновлений? В Nexus/CyanogenMod/AOKP/ParanoidAndroid ясное дело пофиксят, но охват атаки немалый на самом деле будет.

    Хотя тут больше социальная инженерия, чем какая-то явная уязвимость.
    • +2
      социальная инженерия иногда дает больший профит, людей фиксить сложнее \=
  • +11
    Мы все уже слышали про то что гугл может принудительно устанавливать/удалять приложения на устройстве пользователя. Но меня если честно просто коробит от того что все проблемы с безопасностью андроида решаются в «следующей версии». Может гуглу стоит попробовать выпустить патч к тому что есть? Да это заметно сложнее, надо будет делать патчи под вагон и маленькую тележку версий, возможно патчу придется еще и привелегии поднимать чтобы себя поставить. ^_^ Но ведь это репутация платформы, и если они хотят чтобы все больше людей ей пользовались, то может быть стоит о ней задуматься?
    Предположим у меня есть планшет, который не получит официального обновление даже на 4.1, и телефон который застрял в 2.x эре. Это значит что безопасность платформы меня не интересует? Потом найдется в большинстве версий баг, где смогут читать мои смс, и в итоге очень хорошо таргетировать что и как мне слать, да и соц. сети выдают очень много чего о человеке, так что имхо недооценивать такую уязвимость не стоит. И если обычному человеку это все максимум означает потерю денег, то от некоторых сообщений, человеку со слабым сердцем может вообще стать плохо.
    И ведь ладно бы один Google, так по сути почти все производили ОС грешат тем что фиксят проблемы в «новых версиях», забывая о том что мы живем в мире где поддержку «новых версий ОС» почти не обеспечивают производители телефонов.
    Все больше обычных людей далеких от компьютера начинают использовать «умные» телефоны, причем в бюджетном сегменте дождаться обновлений ОС это вообще редкость, а какая нибудь бабушка не поймет, а зачем ей собственно ковыряться со скриптами чтобы поставить неофициальную прошивку (это если она вообще выйдет, эта прошивка). Возможно стоит перестать гоняться за тем чтобы делать телефон умнее (siri, google now, s voice), быстрее, и навешивать рюшечки на интерфейс. Возможно стоит подумать о обычных людях, которые приходят в магазин, покупают телефон, и хотят надежности, и безопасности. Может стоит задуматься о том как обезопасить систему от фишинга. Как показать пользователю что это сообщение пришло именно от того человека, который указан в адресате. Задуматься о безопасности, и социальной составляющей, а не интегривать 100500'ый клиент социальных сетей, и добавлять рюшечек к интерфейсу чтобы оправдать использование 4 ядерного процессора.
    • 0
      По большому счету, все девайсы кроме нексусов не находятся под властью гугла на самом деле. То есть тут надо грешить на производителей.
      В то же время я думаю, что все кроме Nexus One получат этот фикс. Даже возможно, что гугл такую дыру и для Nexus One закроет. С другой стороны nexus one вышел с разницей в пол года с iPhone 3gs под который сейчас тоже обновлений не идет вовсе (поправьте если не так)
      • +1
        Ну до iOS 6 апдейт то получил. Просто имхо, может стоит производителям мобильных осей задуматься о возможности автоматически выдавать пользователям патчи. Просто одно дело апдейт до последней оси, где все вроде пофиксено, а другое маленький патч, который фиксит баг отдельного сервиса. (конечно отладку багов это несколько усложнит, но будет при баге отсылаться еще и версия отдельных корневых сервисов, которые могут быть обновлены сами по себе, и будет всем счастье). А то получается что телефону 3 года, а про исправление уязвимостей можно забыть. Я же не требую повесить на все Android 4.2+, а всего лишь хотелось бы видеть фикс достаточно небольших багов связанных с безопасностью хотя бы.
        Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально).
        • –1
          «Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально). „
          — ответ прост, телефон через год-три года может уже уйти с прилавков. Например Nexus One не поддерживается и он же не продается.
          А вот Starcraft первый вроде как близард до сих пор продает.
          ответ PapaBubaDiop: официально? Я слышал что вроде 6.0 не вышел, но погуглил оказалось вроде офиц вышел норм. А вот 6.1 говорили что не будет. Если не официально — то и на HTC G1 можно 4.1 поставить :)
        • +1
          Нельзя пропатчить чужой андроид. Например, в прошивках Acer используется другая база адресов для загрузки системных библиотек. Это значит, что ни одна либа собранная из официальных исходников там не заработает.
      • +2
        iPhone 3gs прекрасно живет на последней 6.0.1 или девелоперской 6.1.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.