?

Log in

No account? Create an account

Было | Будет

Вчера в одном из сообществ на мордокнижке проводили опрос кто какой мобильной операционной системой пользуется. В опросе приняло не так уж и много народу, но из результатов можно сделать вывод, что большинство сейчас пользуется мобилами на ОС Android различных поколений (что и следовало ожидать) Распределение голосов получилось следующим: 50% Android, 29% пользуются Яблочной продукцией, 17% как выяснилось сидят на мобильной винде (ну тут я эту статистику подправил))) и 4% пользуются обычными мобилами (тут тоже стоит поправить, что обычная мобила используется как вторая к смартфону на Andoid или огрызке - доверять-то современным смарфонам нельзя - хрен их знает на что они могут потратить заряд своего аккумулятора)
На этом собственно вся статистика закончилась. а теперь небольшое предупреждение, которое пользуется всех пользователей ОС Android всех поколений.
Внимание, это не учебная тревога. Это касается всех версий Android, и на момент публикации данного поста Google не закрыла эту уязвимость. Она позволяет воровать данные, в том числе пароли, устанавливать приложения с полным набором разрешений и следить за тем, что человек делает и что набирает на клавиатуре любого Android-телефона или планшета. Внимание, это не учебная тревога…
Атаку, получившую название Cloak and Dagger (Плащ и Кинжал — видимо, в честь героев комиксов Marvel), продемонстрировали сотрудники технологического университета Джорджии и университета Калифорнии. Они трижды пытались обратить внимание Google на проблему, но Google каждый раз отвечала, что все работает так, как и задумано. Исследователям не оставалось ничего, кроме как опубликовать свои открытия — для этого они даже сделали отдельный сайт cloak-and-dagger.org.

Если вкратце, то атака сводится к тому, что, используя приложение из Google Play, не требующее от пользователя никаких специальных разрешений, атакующие получают возможность выводить интерфейс этого приложения поверх других и нажимать за пользователя кнопки — так, что он сам этого не видит.

Это оказывается возможным потому, что при установке приложений из Google Play от пользователя не требуют в явном виде разрешать приложениям доступ к функциям SYSTEM_ALERT_WINDOW, а разрешение на доступ к ACCESSIBILITY_SERVICE (A11Y) получить довольно легко.

Что это за разрешения? Первое из них позволяет выводить интерфейс приложения поверх любого другого приложения, а второе дает доступ к набору функций для людей с ограниченным зрением и слухом. Доступ к Accessibility Service — весьма опасная штука, поскольку эта функция позволяет приложению не только отслеживать, что происходит в других приложениях, но и взаимодействовать с ними от лица пользователя.

Казалось бы, ну что может пойти не так? А вот не буду я весь текст перетаскивать сюда - кого заинтересовала данная информация, то продолжение по ссылке

Календарь

Ноябрь 2017
Вс Пн Вт Ср Чт Пт Сб
   1234
567891011
12131415161718
19202122232425
2627282930  

Метки

Разработано LiveJournal.com
Дизайн Tiffany Chow