Найдена уязвимость в Google Android

image

Теги: Google, Android, уязвимость, операционная система

В платформе Android найдена недоработка, позволяющая злоумышленнику молча установить приложение без необходимости совершения подтверждения операции со стороны пользователя.

В платформе Android найдена недоработка, позволяющая злоумышленнику молча установить приложение без необходимости совершения подтверждения операции со стороны пользователя. При установке программ в штатном режиме пользователю необходимо пройти несколько шагов, на одном из которых требуется подтвердить делегирования приложению прав доступа к таким функциям, как сеть, телефония, GPS, персональная информация и т.п.

Обнаруженная уязвимость позволяет обойти данные шаги и скрыть от пользователя не только использование в приложении расширенных функций, но и сам факт установки приложения. Суть проблемы связана с поддержкой во встроенном web-браузере функции установки пакетов программ (INSTALL_PACKAGES). По предварительным данным возможность добавлена только в телефонах компании HTC с целью автоматического обновления Flash-плагина. При наличии в браузере уязвимости (например, такой как была найдена в прошивке Android 2.1) злоумышленники могут воспользоваться функцией INSTALL_PACKAGES для скрытой установки любого пакета, а не только для обновления Adobe Flash.

Кроме того, исследователь компьютерной безопасности Йон Оберхейде, ранее указавший на возможность загрузки вредоносных программ в каталог Android Market, продемонстрировал еще один вид атаки, базирующейся на возможности генерации фиктивных параметров аутентификации для Android Market. В итоге исследователь загрузил в Android Market приложение "Angry Birds Bonus Levels", которое при своей установке молча инсталлировало три дополнительных программы ("Fake Toll Fraud", "Fake Contact Stealer" и "Fake Location Tracker"), которым были активированы привилегии отправки SMS. В настоящее время данные программы удалены из Android Market, но тревожит сам факт их появления там.


или введите имя

CAPTCHA
Страницы: 1  2  
Den
15-11-2010 11:53:04
Уж сильно старый добрый must die напоминает
0 |
Ганс
15-11-2010 12:28:59
Оно и есть. Только на базе Линукса. Се ля ви.
0 |
15-11-2010 13:20:38
Ну достали незнайки
0 |
вантуз
15-11-2010 16:15:14
божечеки, Ганс, вы бы со своей безграмотностью сидели да помалкивали на своей винде
0 |
16-11-2010 10:12:54
Вы бы со своей безграмотностью сидели да помалкивали на своем линуксе.
0 |
Ubrikos_58058
15-11-2010 12:28:00
только в телефонах компании HTC - вот что значит позаботились о пользователях. Что бы лишний раз не тревожить пользователя окном решено было сделать без окна.
0 |
Jack
15-11-2010 12:35:08
Какой идиот печатает тут новости??? Ошибка не в андройде, а в дополненном модуле HTC для браузера!!! Если на то пошло, то может будем теперь писать, что если ошибка в программе под винду - то это ошибка в винде???
0 |
dxs
15-11-2010 12:41:31
только вот "ошибка в модуле для браузера" позволяет залезть в самые глубины самой оси и получить доступ абсолютно ко всему!
0 |
Jack
15-11-2010 12:46:58
Я веду к тому, что бага не в оси, а в стороннем модуле! А то, что можно получить ПРАКТИЧЕСКИ (Без root доступа) полный доступ - это тоже не проблема оси! Потому как, перед установкой программы - видишь, куда даётся доступ и решаешь - ставить или нет, а тут просто из за скрытой установки, причиной которой дырявый плагин, этой возможности лишаешься!
0 |
Григорий
15-11-2010 16:31:03
...позволяющая злоумышленнику молча установить приложение... и никаких разговоров!
0 |
Не введено имя автора сообщени...
15-11-2010 18:24:39
Автор, читай первоисточник, а не истерику на опеннет. Не молча установить, а ЗАПУСТИТЬ установку приложения, не имея на то прав. Запуск приведет к появлению окошка "Установить. Отмена.". "Эксперты", блин.
0 |
Страницы: 1  2