Уязвимость в Android позволяет подменять иконки приложений вредоносными сайтами Статьи редакции
В мобильной операционной системе Android нашли серьёзную уязвимость, позволяющую злоумышленникам подменять свойства иконок приложений. Об этом сообщается в блоге исследовательской группы FireEye.
Обнаруженная уязвимость завязана на использовании разрешений (permissions) на доступ к разным функциям операционной системы. Обычно, если разрешение касается важных и потенциально опасных функций (например, доступа к сети или чтению данных с SD-карты), о них пользователя предупреждают при установке приложения.
Но исследователи из FireEye нашли разрешения com.android.launcher.permission.READ_SETTINGS и com.android.launcher.permission.WRITE_SETTINGS. Система относит их к числу «нормальных», поэтому пользователя не предупреждают об их наличии при установке соответствующего приложения.
Однако эти два разрешения позволяют приложению свободно менять настройки лаунчера (оболочки) на Android. В частности, у него есть возможность вставлять новые иконки или модифицировать существующие.
Таким образом, приложение сможет подменить свойства какой-нибудь иконки на рабочем столе, чтобы по нажатию на неё открывалась не исходная программа, а заданный злоумышленниками сайт. К примеру, это может быть банковское приложение, вместо которого откроется фишинговая страница, крадущая данные пользователя.
FireEye проверили существование уязвимости, создав тестовое приложение. Цифровой каталог Google Play никак не помешал публикации этого приложения и его установке на тестовый Android-планшет. Исследователи специально подчеркнули, что сразу после проверки и приложение, и специально созданный фишинговый сайт были закрыты.
Как отмечает ComputerWorld, исследователи сообщили о найденной уязвимости в Google ещё в октябре 2013 года, однако она оставалась неисправленной до февраля 2014 года. Корпорация распространила патч партнёрам-производителям Android, но многие из них ещё не встроили их в свои устройства.
Публикация описания уязвимости подтолкнёт производителей на более быстрое исправление уязвимостей, надеются в FireEye.
Последний Данила
HeartBleed тоже была эксплуатации невнимательности, коли на то пошло. Такие вещи являются уязвимостями
Совместный паук например
Уязвимость это изъян в программном коде. В openSSL он был, тут его нет. Просто надо внимательно смотреть куда ты вводишь свой логин и пароль. Ато наотправляют смс, а потом жалуются уязвимость у них, вирус деньги снял.
Совместный паук например
Тогда уж это уязвимость человеческого мозга, а не андропова.
Промежуточный инструмент
Как это эксплуатация невнимательности, когда "система относит их к числу «нормальных», поэтому пользователя не предупреждают об их наличии при установке соответствующего приложения"? Пользователь об этом даже не знает. Это именно что уязвимость, прям по википедии: "В компьютерной безопасности термин «уязвимость» (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу", что мы и имеем в данном случае.
Хотя в большинстве случаев, мне кажется, действительно вина пользователя, что он не смотрит, что он там одобряет, ведется на подозрительные приложения и т.д. Но не здесь.