Более миллиарда устройств на базе Android уязвимы к атакам класса «повышение привилегий»

image

Теги: уязвимость, Android, ОС

ИБ-эксперты обнаружили в ОС шесть Pileup-уязвимостей, которые присутствуют в версиях Android Open Source Project и более чем 3,5 тысячах кастомизированных версий платформы.

Более миллиарда устройств, работающих на базе Android, уязвимы к атакам класса «повышение привилегий». Об этом свидетельствует доклад, подготовленный совместными усилиями Индианского университета в Блумингтоне и Microsoft.

Как утверждают специалисты, повышение привилегий через обновление (privilege escalation through updating, pileup) предоставляет злоумышленникам большие возможности установить вредоносные приложения после установления апдейта. При этом пользователь может даже не подозревать о происходящем.

В докладе эксперты по вопросам ИБ отметили, что обновления для ОС выпускаются раз в несколько месяцев, что приводит к появлению огромнейшего количества новых и дополнительных файлов. Для того чтобы программа не затронула уже установленные на устройстве приложения, ее необходимо очень тщательно настроить.

В докладе также сообщается о том, что в Android обнаружено шесть Pileup-уязвимостей, которые присутствуют в версиях Android Open Source Project и более чем 3,5 тысячах кастомизированных версий Android, а это свыше миллиарда уязвимых устройств. Google уведомили о брешах, и на текущий момент уже исправлена одна уязвимость.

По словам исследователей, главная проблема заключается в том, что для большей удобности пользователя уведомления о появлении на платформе нового приложения не отображаются, а устанавливаются в фоновом режиме. Таким образом, владелец Android-устройства не может повлиять на процесс обновления.

Более подробно с докладом можно ознакомиться здесь.


или введите имя

CAPTCHA