Крейг Янг демонстрирует взлом на конференции по безопасности Defcon
Функция Android, разработанная для обеспечения однокликового доступа к любому сервису Google с использованием учетных данных, хранящихся на телефоне, была взломана вредоносным приложением, созданным исследователем безопасности, сообщает PCWorld. Эксплойт был продемонстрирован в субботу на конференции по безопасности Defcon в Лас-Вегасе.
Эта функция называется «weblogin» и работает путем генерации уникального токена, который может использоваться для прямой аутентификации пользователей на веб-сайтах Google с использованием учетных записей, уже настроенных на их устройствах.
Weblogin обеспечивает лучший пользовательский опыт, но потенциально может поставить под угрозу конфиденциальность и безопасность личных учетных записей Google, а также учетных записей Google Apps, используемых компаниями, — заявил Крейг Янг, исследователь из охранной фирмы Tripwire, во время своего выступления.
Приложение позиционирует себя как программа для просмотра котировок для Google Finance. При первой установке оно запрашивает разрешение на доступ к учетным записям Google, хранящимся на устройстве, а затем запрашивает разрешение на использование логина при подключении к Google Finance. Хотя пользователю приходится соглашаться на оба запроса, это может не показаться неуместным при доступе к сервису Google. После получения разрешения приложение успешно подключается к сервису, но также скрытно отправляет учетные данные на сервер, принадлежащий исследователю.
Злоумышленник мог бы затем использовать эти учетные данные для доступа к любым учетным записям Google владельца устройства: Gmail, календарь, Google Диск и Google Apps. Что еще более тревожно, та же техника могла получить доступ к Google Play для загрузки дальнейших вредоносных приложений на устройство: вредоносное приложение было успешно добавлено в Google Play, где оно провисело месяц (с предупреждением при установке, сообщающим людям, что оно на самом деле делает), прежде чем было сообщено о нем и удалено.
Хотя Google была проинформирована в феврале и начала блокировать некоторые действия, которые могло выполнять приложение, это указывает на то, что мы не должны быть слишком небрежными в разрешениях, которые мы предоставляем приложениям, даже для доступа к сервисам Google.
Источник: Techmeme