Ссылаясь на исследование Bluebox Security об уязвимости безопасности Android, которую исследователи назвали «Фальшивый ID», Arstechnica сегодня опубликовала отчет, подробно описывающий, как эта уязвимость подвергает большой список пользователей Android угрозам вредоносного ПО.
Большинство устройств под управлением операционной системы Google Android подвержены взломам, которые позволяют вредоносным приложениям обходить ключевую песочницу безопасности, чтобы красть учетные данные пользователей, читать электронную почту и получать доступ к истории платежей и другим конфиденциальным данным, предупредили исследователи… По словам исследователей из Bluebox Security, эта серьезная уязвимость существует в Android с момента выпуска версии 2.1 в начале 2010 года. Они назвали ошибку «Фальшивый ID», потому что, подобно поддельному водительскому удостоверению, которое несовершеннолетний может использовать, чтобы проникнуть в бар, она предоставляет вредоносным приложениям особый доступ к ресурсам Android, которые обычно недоступны.
В отчете далее утверждается, что разработчики Google внесли изменения в Android 4.4, которые ограничивают потенциальный ущерб от ошибки, но сама уязвимость остается неустраненной во всех версиях Android, начиная с версии 2.1 в 2010 году.
Google опубликовал следующее заявление для Ars относительно исправления ошибки, но оно не предоставляет много информации о том, что именно было исправлено или был ли патч уже распространен конечным пользователям через различных партнеров:
Мы ценим, что Bluebox ответственно сообщила нам об этой уязвимости; сторонние исследования – один из способов сделать Android более надежным для пользователей. Получив информацию об этой уязвимости, мы быстро выпустили патч, который был распространен среди партнеров Android, а также в AOSP. Google Play и Verify Apps также были улучшены для защиты пользователей от этой проблемы. На данный момент мы просканировали все приложения, отправленные в Google Play, а также те, которые Google проверил вне Google Play, и не обнаружили никаких доказательств попыток эксплуатации этой уязвимости.