Ошибка в Android позволяет устанавливать программы без ведома пользователя

Материал из Викиновостей, свободного источника новостей

12 ноября 2010 года

В платформе Android найдена недоработка, позволяющая злоумышленнику молча установить приложение без необходимости совершения подтверждения операции со стороны пользователя. При установке программ в штатном режиме пользователю необходимо пройти несколько шагов, на одном из которых требуется подтвердить делегирования приложению прав доступа к таким функциям, как сеть, телефония, GPS, персональная информация и т.п.

Обнаруженная уязвимость позволяет обойти данные шаги и скрыть от пользователя не только использование в приложении расширенных функций, но и сам факт установки приложения. Суть проблемы связана с поддержкой во встроенном web-браузере функции установки пакетов программ (INSTALL_PACKAGES). По предварительным данным возможность добавлена только в телефонах компании HTC с целью автоматического обновления Flash-плагина. При наличии в браузере уязвимости (например, такой как была найдена в прошивке Android 2.1) злоумышленники могут воспользоваться функцией INSTALL_PACKAGES для скрытой установки любого пакета, а не только для обновления Adobe Flash.

Кроме того, исследователь компьютерной безопасности Йон Оберхейде (Jon Oberheide), ранее указавший на возможность загрузки вредоносных программ в каталог Android Market, продемонстрировал еще один вид атаки, базирующейся на возможности генерации фиктивных параметров аутентификации для Android Market. В итоге исследователь загрузил в Android Market приложение "Angry Birds Bonus Levels", которое при своей установке молча инсталлировало три дополнительных программы ("Fake Toll Fraud", "Fake Contact Stealer" и "Fake Location Tracker"), которым были активированы привилегии отправки SMS. В настоящее время данные программы удалены из Android Market, но тревожит сам факт их появления там.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Ошибка в Android позволяет устанавливать программы без ведома пользователя», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.