Новая уязвимость Android позволяет злоумышленникам скрытно заражать приложения

Компания Symantec раскрыла информацию о новой уязвимости платформы Android, позволяющей злоумышленникам внедрять вредоносный код в легитимные приложения, не нарушая при этом их цифровую подпись.

Новая уязвимость Android позволяет злоумышленникам скрытно заражать приложения

Все Android-приложения должны иметь цифровую подпись, удостоверяющую неизменность кода разработчика. Помимо этого, в ОС Android используется система разрешений на уровне приложений, где для осуществления тех или иных операций приложение должно получить разрешение пользователя. Цифровая подпись подтверждает неизменность кода приложения и предоставленных ему прав.

Серьезная уязвимость в ОС Android позволяет злоумышленникам спрятать вредоносный код внутри легитимных приложений и, используя предоставленные приложению права доступа, выполнять критически важные с точки зрения пользователя действия. Вся информация об этой уязвимости уже выложена в сеть, и воспользоваться ею очень просто.

Приемы внедрения вредоносного кода в приложения уже какое-то время используются злоумышленниками. Однако до этого им приходилось менять и имя приложения, и издателя, а также подписывать зараженное приложение своей собственной цифровой подписью. Поэтому любой, кто внимательно приглядывался к программе, сразу мог заметить нелегитимность издателя. Теперь злоумышленникам нет нужды менять цифровую подпись - они могут заражать и использовать легитимные приложения, и при этом даже опытный пользователь не сможет однозначно сказать, что приложение было заражено.

Эксперты Symantec встроили технологию распознавания ситуаций использования данной уязвимости в систему Norton Mobile Insight, и, проверив более 4 000 000 приложений, пока еще не выявили ни одного случая заражения. Однако было зафиксировано некоторое количество легитимных приложений, ведущих себя схожим образом. Это объясняется тем, что многие приложения создаются с помощью широко распространенных наборов инструментов, APK-файлы которых могут содержать данную уязвимость. К сожалению, 99% Android-устройств подвержены этой уязвимости, а подготовка и выпуск исправлений (если таковые вообще выпускаются), как правило, занимает у производителей некоторое время.

Новость добавлена: 26.07.2013 09:17:51
Автор: Gadget Girl
Просмотров: 662
< Предыдущая новость
Украинцы обложат Wi-Fi дополнительным сборомУкраинцы обложат Wi-Fi дополнительным сбором

Украинская нацкомиссия по регулированию связи и информатизации планирует включить устройства, поддерживающие Wi-Fi, в перечень товаров, импорт которых согласовывается с местным регулятором в лице госцентра радиочастот. Разрешение этого ведомства... прочитать новость >>

Новость добавлена: 26.07.2013 14:23:14
Автор: iPhone Girl
Просмотров: 1243
Следующая новость >
Сайт дня: Акваграфия - лужи, водоёмы, архитектура и фотографияСайт дня: Акваграфия - лужи, водоёмы, архитектура и фотография

Сегодня сайтом дня объявляется арт-проект Акваграфия. Я-то думал, что арт-проекты кроме меня никому не интересны, а тут читатели стали интересоваться, что это я подзабросил направление. Исправляюсь: Сайт Акваграфия - это коллекция фотографий,... прочитать новость >>

Новость добавлена: 26.07.2013 04:13:19
Автор: Уставший от гаджетов
Просмотров: 941
Это интересно