Исследователи компании Bluebox Labs обнародовали информацию об уязвимости в Android. Они утверждают, что с помощью этой погрешности злоумышленники могли получать доступ к функциям смартфонов, планшетов и хранящимся на них личным данным без разрешения пользователя.
Уязвимость была выявлена три месяца назад, и специалисты Bluebox Labs известили о ней разработчиков Android из Google. Патч, устраняющий проблему, выпустили почти сразу, но это не избавило от угрозы большинство владельцев Android-устройств, потому что проблема была решена лишь в последней версии ОС, сообщает Daily Mail.
Смартфоны и планшеты, на которых установлены более ранние версии Android, начиная с 2.1 (Eclair) и заканчивая 4.3.1 (Jelly Bean), так и остались не защищены от несанкционированного доступа. Обнаруженная "дыра" может серьезно угрожать работе смартфона, так как с ее помощью хакеры могут распространять чрезвычайно вредоносное ПО. Из-за этого англоязычные СМИ назвали "дыру", обнаруженную Bluebox Labs, "суперуязвимостью нового типа"
Сами аналитики BlueBox называют ее Fake ID – "Поддельное удостоверение", потому что с ее помощью можно обмануть систему цифровых сертификатов приложений и выдать вредоносную программу за приложение официального поставщика, которому пользователь уже разрешил доступ к системе.
В блоге компании, технический директор Джефф Форристал сравнил найденную ошибку в блоге BlueBox, с грабителем, который подходит к охраннику и предъявляет поддельный пропуск, а тот, взглянув на фальшивый документ, спокойно пропускает злоумышленника в здание, так и не убедившись в подлинности пропуска. Таким образом, устанавливаемое приложение может быть замаскировано под любую программу, созданную авторитетной компанией. Установленная на смартфоне или планшете система Android будет не проверять этот факт и автоматически наделит приложение привилегиями, доступными официальным программам от поставщика. В результате злоумышленник легко может внедрить в систему вредоносный код, прикрываясь плагином.
По мнению аналитиков BlueBox, на момент обнаружения уязвимости в зоне риска находилось 99% устройств, работающих на платформе Android, но доказательств того, что хакеры успели ей воспользоваться, компания предоставить не может.
