Дыра в программе: в смартфонах на Android обнаружена уязвимость

Страница: 1

Сообщений 1 страница 3 из 3

Поделиться12015-07-31 04:09:47

Автор: snezhinka
Администратор
Зарегистрирован: 2008-06-30
Приглашений: 0
Сообщений: 58685
Уважение: [+416/-21]
Позитив: [+458/-283]
Провел на форуме:
1 год 0 месяцев
Последний визит:
2020-03-18 05:07:47

Дыра в программе: в смартфонах на Android обнаружена уязвимость

Почти 1 миллиард смартфонов в мире оказался под угрозой заражения, и надежной защиты пока нет. Как можно снизить риск, выясняла DW.

По данным немецкого маркетингового института IDC, более 80 процентов смартфонов по всему миру работают на операционной системе Android. И примерно один миллиард из них, оказывается, может быть без труда вскрыт хакерами. Об этом предупредили специалисты американской компании Zimperium, которые обнаружили уязвимость в популярной операционной системе. Для заражения смартфона злоумышленникам достаточно знать телефонный номер владельца. На этот номер через мессенджер Hangouts или как мультимедийное сообщение MMS отправляется видеоклип, содержащий вредоносный код. Вот, собственно, и все. Владельцу телефона совершенно необязательно даже открывать сообщение - далее заражение смартфона происходит автоматически.

Кто виноват

Виной всему - базовый инструмент системы Android для воспроизведения мультимедийных файлов под названием Stagefright. Как выразился в интервью журналу Forbes специалист компании Zimperium Джошуа Дрейк (Joshua Drake), первым выявивший слабое место, речь идет об "истоке всех уязвимостей системы Android".

Владельцам смартфонов на Android надо сделать несколько простых шагов

Проблема - в базовом принципе Stagefright, автоматически загружающем прикрепленные к приходящим сообщениям видеоклипы. От действий пользователя тут уже мало что зависит. Более того, вредоносная программа, попав в смартфон, может потом вообще стереть пришедшее сообщение из папки "Входящие", так что владелец телефона совершенно ничего не заметит.

А последствия могут быть очень неприятными. Через попавший в телефон вредоносный код злоумышленники сразу начинают контролировать те части системы, к которым есть доступ у Stagefright: а именно, хранилища аудио- и видеозаписей, фотографий, а также устройство беспроводной связи Bluetooth на телефоне. Возможен и доступ в другие блоки смартфона, включая камеру и микрофон, что позволяет злоумышленникам слышать и видеть все, что происходить в непосредственной близости от устройства.

Что делать

Как рассказали специалисты Zimperium, уязвимость они открыли еще в апреле этого года - и сразу же проинформировали производителя системы Android, компанию Google. В Google отреагировали быстро: компания немедленно разослала "лекарство" от вредоносного вируса производителям смартфонов на Android. А вот как поступили те, сказать трудно.

Распространение "заплаток" к операционной системе или ее новых версий для конкретных марок смартфонов - процесс довольно длительный, и, по наблюдению журнала Forbes, еще "ни один производителей смартфнов на Android не распространил обновления системы с устраненной уязвимостью". Это значит, что сейчас в мире до 1 миллиарда телефонов подвержены риску. Вне опасности только совсем "древние" девайсы с системой ниже версии 2.2.

Когда появится обновление, пока не известно. В Google призывают не драматизировать события и отмечают, что в апреле известных случаев заражения через уязвимость не было, но как обстоят дела сегодня - неизвестно. Немецкая специализированная пресса тоже призывает владельцев смартфонов на Android не паниковать, а лучше самим совершить некоторые несложные действия.

Так, рекомендуется в настройках вашего SMS-приложения отключить автоматическую загрузку MMS-сообщений и, по возможности, не пользоваться мессенджером Hangouts. Ну а в целом, приходится дожидаться обновления системы от фирм-производителей смартфонов. Подробную информацию для них о борьбе с уязвимостью специалисты дадут в первые дни августа, на специализированной конференции для разработчиков в Лас-Вегасе.

Дата 30.07.2015

Автор Павел Лось

http://dw.com/p/1G72j

Поделиться22015-08-10 03:54:11

Автор: snezhinka
Администратор
Зарегистрирован: 2008-06-30
Приглашений: 0
Сообщений: 58685
Уважение: [+416/-21]
Позитив: [+458/-283]
Провел на форуме:
1 год 0 месяцев
Последний визит:
2020-03-18 05:07:47

Check Point обнаружила серьезную уязвимость в миллионах Android-устройств

07.08.15, Пт, 11:10, Мск

Компания Check Point Software Technologies, специализирующаяся исключительно на интернет-безопасности, обнаружила уязвимость в операционной системе Android, которая ставит под угрозу устройства от таких производителей, как LG, Samsung, HTC, ZTE и др. Об этом CNews сообщили в Check Point. Специалисты группы Check Point по исследованию мобильной безопасности объявили об этом на одной из сессий конференции Black Hat USA 2015 6 августа 2015 г.

Уязвимость, получившая название Certifi-gate, позволяет приложениям незаконно получать привилегированные права доступа, которые обычно используются приложениями удаленной поддержки, предустановленными на устройстве производителем или пользователем. Злоумышленники могут воспользоваться Certifi-gate для получения неограниченного доступа к устройству, что позволит им красть персональные данные, отслеживать местонахождение гаджетов, включать микрофоны для записи разговоров и многое другое.

Android не предлагает способа аннулировать сертификаты, которые дают привилегированные права доступа. Без необходимых патчей или других инструментов устройство является уязвимым с самого начала использования. Check Point уведомила об обнаружении Certifi-gate всех заинтересованных поставщиков, которые приступили к выпуску патчей. Эту уязвимость нельзя устранить. Для решения проблемы необходимо провести обновление, при котором на устройстве устанавливается новая версия ПО, однако этот процесс может занять много времени, подчеркнули в компании. Android также не предложил никаких вариантов отзыва сертификатов, использованных для подписи уязвимых плагинов.

«Ежедневно люди по всему миру пользуются мобильными устройствами для решения важных вопросов: они просматривают корпоративную почту, проверяют банковские счета и отслеживают информацию о здоровье, — отметила Дорит Дор, вице-президент по продуктам Check Point Software Technologies. — Проблема в том, что они редко задумываются, находятся ли их данные в безопасности. Этой уязвимостью очень легко воспользоваться, что может привести к потере или незаконному распространению персональных данных пользователей. Наступило время, когда нужно начать принимать всерьез безопасность мобильных устройств».

Check Point также представила новое решение по безопасности мобильных устройств Check Point Mobile Threat Prevention, с помощью которого организации смогут противодействовать эволюционирующим мобильным угрозам и выявлять такие угрозы, как Certifi-gate, вредоносные приложения, атаки вида Man-in-the-Middle и другие. Обеспечивая должный уровень безопасности для предотвращения угроз на iOS и Android, решение наглядно и в режиме реального времени предоставляет данные об угрозах для существующих инфраструктур безопасности и мобильных платформ. По словам разработчиков, Check Point Mobile Threat Prevention легко разворачивается и не только интегрируется в инфраструктуру безопасности и мобильных платформ предприятия, но и обеспечивает прозрачность работы пользователей с учетом конфиденциальности и производительности.

Пользователи Android могут проверить наличие уязвимости Certifi-gate на своем устройстве, скачав бесплатное сканирующее приложение Check Point на Google Play.

http://www.cnews.ru/news/line/index.sht … /07/598364

Поделиться32015-08-10 03:57:36

Автор: snezhinka
Администратор
Зарегистрирован: 2008-06-30
Приглашений: 0
Сообщений: 58685
Уважение: [+416/-21]
Позитив: [+458/-283]
Провел на форуме:
1 год 0 месяцев
Последний визит:
2020-03-18 05:07:47

Через новую «дыру» в Android можно тайно подключиться к сотням миллионов устройств Samsung, LG, HTC

07.08.15, Пт, 11:58, Мск,

Текст: Сергей Попсулин

Сотни миллионов Android-устройств содержат новую группу уязвимостей. Они позволяют злоумышленникам получить неограниченный доступ к функциям гаджетов и хранимым на них данным.

Новая группа уязвимостей

Сотни миллионов Android-устройств содержат группу уязвимостей под общим названием Certifi-gate, позволяющих злоумышленникам получать неограниченный доступ к функции гаджетов и хранимой на них информации, предупредили специалисты компании Check Point Software Technologies, занятой проблемами информационной безопасности.

Суть проблемы

Проблема заключается в неправильной работе методов авторизации в приложениях класса Remote Support Tool (mRST), предназначенных для дистанционного обслуживания устройств, в том числе посредством функции удаленного рабочего стола.

Приложения mRST входят в базовую прошивку сотен миллионов Android-устройств, выпускаемых такими производителями, как LG, Samsung, HTC и ZTE.

С помощью уязвимостей Certifi-gate злоумышленники могут обмануть систему и представиться в качестве легитимного узла управления (то есть официального поставщика услуги дистанционного обслуживания). Это позволяет получить доступ к функциям дистанционного управления.
Практически неограниченные возможности

Уязвимости предоставляют хакерам практически неограниченные возможности: они могут похищать персональные данные, отслеживать местонахождение гаджетов, включать микрофоны для записи разговоров и многое другое.

Примечательно, что в операционной системе Android нет возможности способа аннулировать сертификаты, которые дают приложениям mRST привилегированные права доступа. Без необходимых патчей или других инструментов устройство является уязвимым со дня выпуска, рассказали в Check Point.

Сотни миллионов Android-устройств содержат новую группу уязвимостей

Процесс обновления может затянуться

Компания уведомила об обнаружении Certifi-gate всех заинтересованных поставщиков, которые приступили к выпуску патчей. Эту уязвимость нельзя устранить, для решения проблемы необходимо провести обновление, при котором на устройстве устанавливается новая версия ПО, однако этот процесс может занять много времени. Android также не предложил никаких вариантов отзыва сертификатов, использованных для подписи уязвимых плагинов, отметили в компании.

«Ежедневно люди по всему миру пользуются мобильными устройствами для решения важных вопросов: они просматривают корпоративную почту, проверяют банковские счета и отслеживают информацию о здоровье, — прокомментировала Дорит Дор, вице-президент по продуктам Check Point Software Technologies. — Проблема в том, что они редко задумываются, находятся ли их данные в безопасности. Этой уязвимостью очень легко воспользоваться, что может привести к потере или незаконному распространению персональных данных пользователей. Наступило время, когда нужно начать принимать всерьез безопасность мобильных устройств».

Превращение Android в «кирпичи»

В июле 2015 г. компания Trend Micro обнаружила уязвимость в Android, позволяющая злоумышленникам превратить смартфон или планшет в «кирпич» — устройство, которым невозможно пользоваться. После проведения атаки на гаджет его экран перестает реагировать на нажатия, устройство перестает издавать звуки, пользователь не может принять или совершить звонок.

950 млн Android-устройств

В июле нынешнего года специалисты Zimperium Mobile Security сообщили об обнаружении в Android уязвимости, позволяющей взламывать устройства, просто отправляя на них вредоносные MMS-сообщения. При этом пользователю его даже не нужно открывать. Эксперты подсчитали, что уязвимость содержится примерно в 950 млн устройств на платформе от Google, то есть около 95% от общего числа.

http://www.cnews.ru/news/top/index.shtm … /07/598368

Страница: 1