Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера
Автор: Олег 10.11.2018 12:27
Проблема с утечками привилегий в операционной системе Android позволяет приложениям получать доступ к функциям телефона, которые им не разрешены. Ранее проведённыеисследования с тестированием восьми моделей смартфонов Android показали, что проблема присутствует во всех из них. Например, в таблице ниже показано, какие конкретно разрешения удалось получить приложениям, которые были установлены на устройство без соответствующих прав.
Процитированная выше работа является исключительно академической, но теперь группа исследователей из государственного университета Северной Каролины сообщили о находке конкретного способа, как любое приложение может получить доступ к функции WRITE_SMS, то есть может эмулировать на устройстве приход SMS с произвольным текстом с любого номера. Подобная функция исключительно полезна для проведения атак типа SMiShing (SMS-фишинг). Злоумышленники могут присылать пользователю фиктивные SMS с доверенного номера, содержащие вредоносную ссылку.
Исследователи говорят, что им неизвестно о случаях применения этого способа в конкретных атаках, по при этом упоминают несколько известных случаев SMS-фишинга: 1, 2, 3. Так что вполне вероятно, что данная техника уже используется на практике.
Информация с техническими подробностями об уязвимости была отправлена в Google 30 октября, спустя двое суток получено подтверждение. Технические детали осуществления «утечки привилегий» не будут опубликованы в свободном доступе до тех пор, пока Google не исправит ошибки в коде Android.
Интересно, что исследователи проверили и подтвердили наличие данной уязвимостей во всех версиях Android, начиная с 1.6 и заканчивая 4.1.
Для демонстрации они создали концепт программы, которая устанавливается на телефон без всяких разрешений и генерирует SMS с произвольного номера, как показано на скриншотах и на видео внизу. Что интересно, на телефоне в демонстрационном видео даже отсутствует SIM-карта, так что он в принципе не должен принимать никаких SMS.
Похожие материалы
| Твитнуть |
OtherMenu
VK Стена
- Ссылка: Imperva: антивирусы — бесполезная трата денег
- Ссылка: Контактная линза с ЖК-дисплеем
- Ссылка: Брутфорс паролей WinXP со скоростью 348 миллиардов в секунду
- Ссылка: Eurograbber ограбил европейцев на 36 миллионов евро
- Ссылка: Универсальный жучок для любого мобильного телефона
- Ссылка: Информер о подключении соседа к вашему WiFi
- Ссылка: Site44.com превращает папки Dropbox в веб-сайты
- Ссылка: Облачный антивирус BitDefender 60-Second Virus Scanner
- Ссылка: Вор взломал ATM, подключив клавиатуру в разъём USB от камеры безопасности
- Ссылка: Публикация сообщений в чужом твиттере с помощью подделки SMS
Cтатистика
SMS.копилка
Orphus
