pvl-online.kz » Новости » Эксперты нашли новую уязвимость в платформе Android

Автор публикации: admin Просмотров: 487 Добавлен: 28-07-2013, 18:36 Комментарии: 0

Эксперты нашли новую уязвимость в платформе Android
В операционной системе Android нашли новую уязвимость. Компания Symantec обнаружила, что злоумышленники могут внедрять вредоносный код в легитимные приложения, не нарушая при этом их цифровую подпись.
Цифровую подпись имеют все Android-приложения — она гарантирует, что код разработчика не подвергался изменению. Помимо этого, в платформе используется система разрешений на уровне приложений, где для осуществления тех или иных операций приложение должно получить разрешение пользователя.
Уязвимость позволяет злоумышленникам спрятать вредоносный код внутри приложений. Это дает им возможность управлять устройством от имени пользователя и выполнять критически важные действия. Вся информация об этой уязвимости уже выложена в сеть, и воспользоваться ею очень просто.
Приемы внедрения вредоносного кода в приложения уже какое-то время используются злоумышленниками. Однако до этого им приходилось менять и имя приложения, и издателя, а также подписывать зараженное приложение своей собственной цифровой подписью.
Поэтому любой, кто внимательно приглядывался к программе, сразу мог заметить, что она "поддельная". А теперь даже опытный пользователь не сможет однозначно сказать, что приложение было заражено.
К сожалению, 99% Android-устройств подвержены этой уязвимости, а подготовка и выпуск исправлений (если таковые вообще выпускаются), как правило, занимает у производителей некоторое время. Для защиты своих гаджетов пользователям рекомендуется установить антивирус, способный выявить зараженные таким образом программы.


Рейтинг:


Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    
Другие статьи по теме:
Все Android-приложения должны иметь цифровую подпись, удостоверяющую неизменность кода разработчика. Помимо этого, в ОС Android используется система разрешений на уровне приложений, где для осуществления тех или иных операций приложение должно получить разрешение пользователя. Цифровая подпись подтверждает неизменность кода приложения и предоставленных ему прав. Серьезная уязвимость в ОС Android позволяет злоумышленникам спрятать вредоносный код внутри легитимных приложений и, используя


Как сообщает «CyberSecurity», теперь даже самые опытные пользователи не смогут однозначно сказать, заражено ли то или иное приложение, предупреждает антивирусная компания. Все Android-приложения должны иметь цифровую подпись, удостоверяющую неизменность кода разработчика. Помимо этого, в ОС Android используется система разрешений на уровне приложений, где для осуществления тех или иных операций приложение должно получить разрешение пользователя...


Операционная система Android использует систему разрешений на уровне приложений, при которой для осуществления различных операций требуется подтверждение со стороны пользователя, поэтому ранее при внедрении вредоносного кода злоумышленниками менялись имя приложения и издателя, а заражённая программа подписывалась их собственной цифровой подписью, однако в настоящее время они заражают и используют легитимные приложения, оставляя в неведении даже опытных пользователей. Эксперты Symantec


Check Point Software Technologies обнаружил серьезную уязвимость в платформе iOS. Уязвимость SideStepper может быть использована для установки вредоносных корпоративных приложений на iPhone и iPad, подключенных к решениям по управлению мобильными устройствами. Команда Check Point по исследованиям мобильных угроз представила детали об этой уязвимости на конференции Black Hat Asia 2016 в Сингапуре...


Суть уязвимости — в получении доступа к конфиденциальным данным пользователя, который авторизовался в приложении. Приложение «Приват24» обменивается данными с банком и все данные пересылаются в зашифрованном виде. Но если на телефоне установлено приложение, которое «знает» протокол общения с банком, то оно может получить всю информацию от банка, не зная даже телефона/пароля в «Приват24». То есть, банк думает, что обменивается данными со своим приложением, как рассказал Алексей. Технически это