Уязвимость в Android позволяет подменять иконки приложений вредоносными сайтами Статьи редакции

В мобильной операционной системе Android нашли серьёзную уязвимость, позволяющую злоумышленникам подменять свойства иконок приложений. Об этом сообщается в блоге исследовательской группы FireEye.

Обнаруженная уязвимость завязана на использовании разрешений (permissions) на доступ к разным функциям операционной системы. Обычно, если разрешение касается важных и потенциально опасных функций (например, доступа к сети или чтению данных с SD-карты), о них пользователя предупреждают при установке приложения.

Но исследователи из FireEye нашли разрешения com.android.launcher.permission.READ_SETTINGS и com.android.launcher.permission.WRITE_SETTINGS. Система относит их к числу «нормальных», поэтому пользователя не предупреждают об их наличии при установке соответствующего приложения.

Однако эти два разрешения позволяют приложению свободно менять настройки лаунчера (оболочки) на Android. В частности, у него есть возможность вставлять новые иконки или модифицировать существующие.

Таким образом, приложение сможет подменить свойства какой-нибудь иконки на рабочем столе, чтобы по нажатию на неё открывалась не исходная программа, а заданный злоумышленниками сайт. К примеру, это может быть банковское приложение, вместо которого откроется фишинговая страница, крадущая данные пользователя.

FireEye проверили существование уязвимости, создав тестовое приложение. Цифровой каталог Google Play никак не помешал публикации этого приложения и его установке на тестовый Android-планшет. Исследователи специально подчеркнули, что сразу после проверки и приложение, и специально созданный фишинговый сайт были закрыты.

Как отмечает ComputerWorld, исследователи сообщили о найденной уязвимости в Google ещё в октябре 2013 года, однако она оставалась неисправленной до февраля 2014 года. Корпорация распространила патч партнёрам-производителям Android, но многие из них ещё не встроили их в свои устройства.

Публикация описания уязвимости подтолкнёт производителей на более быстрое исправление уязвимостей, надеются в FireEye.

{ "author_name": "Султан Сулейманов", "author_type": "self", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438_\u0432_android","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","fireeye","android"], "comments": 21, "likes": 10, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 50516, "is_wide": true, "is_ugc": true, "date": "Thu, 17 Apr 2014 02:38:54 +0400", "is_special": false }
0
21 комментарий
Популярные
По порядку
Написать комментарий...

Субъективный Женя

4

Ну всё, несите пластырь:-)

Ответить

Солдатский Слава

MaccaKOT
1

отклеится же

Ответить

Седой танк88

MaccaKOT
0

Это Вы про новый Галакси?

Ответить

Предельный велосипед

2

Android безопаснее iOS говорили они.

Ответить

Маленький космос

igogo
1

Им все равно никто не верил

Ответить

Металлический микроскоп

igogo
0

Самый безопасный это моя Nokla 1202

Ответить

Предельный велосипед

Руслан
0

Огорчу Вас, но такой модели нет

Ответить

Экологический

igogo
1

Поэтому, вероятно, она и безопасная

Ответить

Металлический

igogo
–1

Ну вот, у меня даже телефона нет(((
http://vk.cc/2vjRCK

Ответить

Турецкий фитиль

1

Можно подумать, кто-то вообще смотрит на эти пермишены.
95% просто жмут accept, в лучшем проверяют "services that cost you money".

Ответить

Совместный паук например

Vladimir
0

В этом то вся и проблема, а не в "Уязвимости".

Ответить

Любой бинокль

Vladimir
0

в десяточку...

Ответить

Примитивный рак

1

Кому-то скоро прикроют возможность майнинга биткоинов с помощью телефонов юзеров.

Ответить

Совместный паук например

–1

Скорее не уязвимость, а эксплуатация невнимательности.

Ответить

Последний Данила

Serp
2

HeartBleed тоже была эксплуатации невнимательности, коли на то пошло. Такие вещи являются уязвимостями

Ответить

Совместный паук например

Вячеслав
0

Уязвимость это изъян в программном коде. В openSSL он был, тут его нет. Просто надо внимательно смотреть куда ты вводишь свой логин и пароль. Ато наотправляют смс, а потом жалуются уязвимость у них, вирус деньги снял.

Ответить

Совместный паук например

Вячеслав
0

Тогда уж это уязвимость человеческого мозга, а не андропова.

Ответить

Промежуточный инструмент

Serp
0

Как это эксплуатация невнимательности, когда "система относит их к числу «нормальных», поэтому пользователя не предупреждают об их наличии при установке соответствующего приложения"? Пользователь об этом даже не знает. Это именно что уязвимость, прям по википедии: "В компьютерной безопасности термин «уязвимость» (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу", что мы и имеем в данном случае.

Хотя в большинстве случаев, мне кажется, действительно вина пользователя, что он не смотрит, что он там одобряет, ведется на подозрительные приложения и т.д. Но не здесь.

Ответить

Совместный паук например

Lev
0

В любом случае проморгать запуск браузера вместо приложения вашего банка, например, это нужно постараться.

Ответить

Промежуточный

Serp
0

Это да, не спорю.)

Ответить

Интеллектуальный американец

0

На самом деле в таких уязвимостях самое главное не то что она была, а то что ее нашли.
Люди далекие от программирования даже не представляют насколько дырявые программы которые они используют. Поэтому это даже хорошая новость что ее нашли и обнародовали.

Ответить
Обсуждаемое
Истории
27 пулевых ранений и четыре убитых террориста за раз — история очень везучего американского спецназовца
Небольшой эпизод о важности удачи и смелости.
Интернет
Ролик BadComedian о фильме «Непосредственно, Каха» временно заблокировали на ютубе из-за авторских прав
Обычно этот пользователь жалуется на контент, связанный с Первым каналом.
Технологии
iPhone 11, который полгода пролежал на дне озера, вернули владелице в рабочем состоянии
Телефон нашёл канадский дайвер, занимающийся поиском потерянных вещей.
Популярное за три дня
Новости
На Навального подали в суд владельцы бюро переводов
Они попросили взыскать с политика 10 миллионов рублей за причинение морального вреда: по их словам, Навальный препятствует работе бюро и Владимира Путина. Об этом сообщили Открытые Медиа.
Наука
Ровер Perseverance совершил первую тестовую поездку по поверхности Марса
«Не думаю, что мы когда-либо так радовалась следам колёс».
Twitter
null