Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера

image

Проблема с утечками привилегий в операционной системе Android позволяет приложениям получать доступ к функциям телефона, которые им не разрешены. Ранее проведённые исследования с тестированием восьми моделей смартфонов Android показали, что проблема присутствует во всех из них. Например, в таблице ниже показано, какие конкретно разрешения удалось получить приложениям, которые были установлены на устройство без соответствующих прав.

Bookmark and Share

Процитированная выше работа является исключительно академической, но теперь группа исследователей из государственного университета Северной Каролины сообщили о находке конкретного способа, как любое приложение может получить доступ к функции WRITE_SMS, то есть может эмулировать на устройстве приход SMS с произвольным текстом с любого номера. Подобная функция исключительно полезна для проведения атак типа SMiShing (SMS-фишинг). Злоумышленники могут присылать пользователю фиктивные SMS с доверенного номера, содержащие вредоносную ссылку.

Исследователи говорят, что им неизвестно о случаях применения этого способа в конкретных атаках, по при этом упоминают несколько известных случаев SMS-фишинга: 1, 2, 3. Так что вполне вероятно, что данная техника уже используется на практике.

Информация с техническими подробностями об уязвимости была отправлена в Google 30 октября, спустя двое суток получено подтверждение. Технические детали осуществления «утечки привилегий» не будут опубликованы в свободном доступе до тех пор, пока Google не исправит ошибки в коде Android.

Интересно, что исследователи проверили и подтвердили наличие данной уязвимостей во всех версиях Android, начиная с 1.6 и заканчивая 4.1.

Для демонстрации они создали концепт программы, которая устанавливается на телефон без всяких разрешений и генерирует SMS с произвольного номера, как показано на скриншотах и на видео внизу. Что интересно, на телефоне в демонстрационном видео даже отсутствует SIM-карта, так что он в принципе не должен принимать никаких SMS.

Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера

Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера

Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера

Демонстрационное видео.


Видеофайл в формате mp4

Подробнее: http://www.xakep.ru/post/59587/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера | | 2012-11-06 16:04:00 | | Статьи об Интернет безопасности | | Проблема с утечками привилегий в операционной системе Android позволяет приложениям получать доступ к функциям телефона, которые им не разрешены. Ранее проведённые исследования с тестированием восьми | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: