Обнаружена уязвимость в операционной системе Android, которая
позволяет хакерам получить доступ к файлам, хранящимся на карте памяти.
Проблема касается всех смартфонов на данной платформе и всех ее версий.
Обнаруженная в мобильной операционной системе Android уязвимость
позволяет злоумышленнику получить доступ к файлам, хранящимся на карте
памяти устройства, сообщает Pocketnow со ссылкой на эксперта в области
информационной безопасности Томаса Кэннона (Thomas Cannon). Проблема
связана со встроенным веб-браузером и является следствием целого ряда
факторов, пишет эксперт, первый обнаруживший проблему. Начинается все с
того, что веб-браузер Android не спрашивает у пользователя разрешения о
том, можно ли загрузить файл из интернета, - он делает это автоматически
и сохраняет файл в заданное место. После этого веб-браузер может
запустить данный файл, который может содержать вредоносный код
JavaScript и открыть хакерам доступ к содержимому всей карты памяти. В
демонстрационном ролике эксперт, первым обнаруживший проблему, показал,
как в несколько шагов можно с легкостью распрощаться с конфиденциальной
информацией. Сначала он создал на карте памяти простой текстовый файл, а
затем прошел по вредоносной ссылке. Через несколько секунд файл,
который он создал, уже находится на сервере злоумышленников. Код
исполняется в среде операционной системы, поэтому он не позволяет
открыть к ней корневой (root) доступ. Это обнадеживает, хотя проблема
масштабна - она касается всех мобильных устройств, в которых
используется Android, и всех версий операционной системы, включая самую
свежую - 2.2 (Froyo). После того, как Кэннон нашел уязвимость, он
немедленно уведомил команду разработчиков. Последние проявили
фантастическую скорость, пишет он в своем блоге. Ответ пришел в его
почтовый ящик через 20 минут. Разработчики уже создали патч, который в
настоящее время находится в процессе тестирования, а внести
соответствующие изменения непосредственно в операционную систему
планируют сразу после выхода Android 2.3 (Gingerbread), презентация
которой ожидается 6 декабря. Сложность, считает Кэннон,
заключается в том, что выпуск обновлений зачастую зависит от операторов,
которые делают это нерегулярно и без лишней охоты. В результате в
существующих устройствах данная проблема может быть еще долго. Для
этого, во-первых, специалист рекомендует следить за загрузками в
браузере - уведомления о них все же можно заметить (они появляются в
специальной области на экране). Во-вторых, вместо штатного браузера
можно использовать Opera Mobile или другую альтернативу - в сторонних
продуктах подобные уязвимости закрываются гораздо быстрее. В-третьих,
можно отключить JavaScrpit. Делается это в настройках браузера, однако
вряд ли доставит пользователю радость. В конце-концов на устройстве
можно просто не хранить конфиденциальную информацию, однако это не тот
случай, когда оно является рабочим инструментом. Отметим, что за
последний год в смартфонах было найдено столько уязвимостей, сколько,
пожалуй, за все время существования мобильной связи. Это происходит
вследствие усложнения устройств - использования более сложного
программного обеспечения для их управления и возможности самостоятельной
установки огромного числа приложений. Так, например, позавчера
эксперты обнаружили несколько уязвимостей в мобильной операционной
системе WebOS, также как и Android основанной на ядре Linux, которые
позволяют злоумышленникам не только исполнять произвольный код на
смартфонах под ее управлением, но и включать их в ботнет. Ранее пресса
писала как минимум об одной серьезной уязвимости в операционной системе
iOS, которая позволяла хакерам получать доступ к памяти устройств Apple.
Вендор учел эту проблему в следующей версии прошивки, которая вышла
спустя некоторое время.
|