»сследователь обнаружил у€звимость в приложении, используемом на »Ѕ-конференции

image

“еги: Android, приложение, пароль

 од Android-приложени€ дл€ сканировани€ пропусков содержит неизмен€емый пароль.

”частники конференции RSA, в насто€щее врем€ проход€щей в —ан-‘ранциско, продолжают сообщать о проблемах безопасности используемых на меропри€тии систем и приложений. Ќа дн€х »Ѕ-эксперт ƒжерри √эмблин (Jerry Gamblin) с помощью полотенца из гостиничного номера Ђклонировалї пропуск на RSA. “еперь исследователи вз€лись за устройства, используемые компани€ми, чь€ продукци€ представлена на конференции.

ѕроизводител€м, представл€ющим на меропри€тии свою продукцию, были выданы Samsung Galaxy S4, используемые в качестве счетчиков посетителей.  огда к стенду компании подходит человек, его пропуск сканируетс€ с помощью смартфона и специального Android-приложени€. ”стройства работают в так называемом Ђрежиме киоскаї, и использовать их можно исключительно как сканер. –азблокировать Galaxy S4 можно только с помощью парол€.

—тарший аналитик компании Bluebox Security Ёндрю Ѕлаич (Andrew Blaich) загрузил приложение дл€ сканировани€ пропусков из Google Play и исследовал его.  ак оказалось, код программы содержит неизмен€емый пароль, представленный в незашифрованном виде.

Ђ— помощью парол€ мы получили доступ к настройкам приложени€. ¬ свою очередь это предоставило нам доступ к системным настройкам. ћы активировали режим разработчика и получили полный контроль над устройством. ≈сли нам удалось проделать это, то и злоумышленникам удастс€. ќни смогут получить права суперпользовател€ на устройстве, похитить данные или установить вредоносное ѕќї, - цитирует √эмблина издание SecurityWeek.


или введите им€

CAPTCHA