Ошибка в Android позволяет устанавливать программы без ведома пользователя
12 ноября 2010 года
В платформе Android найдена недоработка, позволяющая злоумышленнику молча установить приложение без необходимости совершения подтверждения операции со стороны пользователя. При установке программ в штатном режиме пользователю необходимо пройти несколько шагов, на одном из которых требуется подтвердить делегирования приложению прав доступа к таким функциям, как сеть, телефония, GPS, персональная информация и т.п.
Обнаруженная уязвимость позволяет обойти данные шаги и скрыть от пользователя не только использование в приложении расширенных функций, но и сам факт установки приложения. Суть проблемы связана с поддержкой во встроенном web-браузере функции установки пакетов программ (INSTALL_PACKAGES). По предварительным данным возможность добавлена только в телефонах компании HTC с целью автоматического обновления Flash-плагина. При наличии в браузере уязвимости (например, такой как была найдена в прошивке Android 2.1) злоумышленники могут воспользоваться функцией INSTALL_PACKAGES для скрытой установки любого пакета, а не только для обновления Adobe Flash.
Кроме того, исследователь компьютерной безопасности Йон Оберхейде (Jon Oberheide), ранее указавший на возможность загрузки вредоносных программ в каталог Android Market, продемонстрировал еще один вид атаки, базирующейся на возможности генерации фиктивных параметров аутентификации для Android Market. В итоге исследователь загрузил в Android Market приложение "Angry Birds Bonus Levels", которое при своей установке молча инсталлировало три дополнительных программы ("Fake Toll Fraud", "Fake Contact Stealer" и "Fake Location Tracker"), которым были активированы привилегии отправки SMS. В настоящее время данные программы удалены из Android Market, но тревожит сам факт их появления там.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
