ЗМІ: Android дозволяє організовувати фішингові атаки

8 серпня 2011, 17:44
0
5

Функціональність мобільної платформи Google Android дозволяє зловмисникам організовувати фішингові атаки, повідомляє видання Cnet з посиланням на незалежних експертів з інформаційної безпеки.

Фахівці компанії Trustwave Ніколя Перкоко і Шон Шульт стверджують, що уразливість міститься в базовому функціоналі Android і пов'язана з принципами взаємодії додатків, що функціонують у фоновому режимі (тобто паралельно з додатком, до якого користувач взаємодіє в той чи інший момент). Зазвичай фоновий додаток повідомляє користувача про нові події через панель у верхній частині екрану пристрою, не перекриваючи при цьому огляд програми на екрані. Однак, як стверджують експерти, в Android є інструменти, які дозволяють іншим додаткам показувати спливаючі вікна поверх інтерфейсу активної програми.

На думку Перкоко і Шульта, ця функція дозволяє, наприклад, розмістити фальшиве вікно авторизації поверх інтерфейсу легальної банківської програми. За допомогою цього зловмисники отримають можливість викрасти дані банківської картки користувача. Небезпека даної уразливості висока ще й тому, що додаток, здатний показувати спливаючі вікна поверх іншої програми, яка ніяк не видає своєї шкідливої ​​"природи", оскільки використовує доступні для всіх розробників кошти.

Як саме працює ця функція Android, експерти продемонстрували на хакерській конференції DefCon 2011, що відбулася минулого тижня в США. У своїй демонстрації вони показали можливість виведення фальшивого спливаючого вікна авторизації для Facebook. За даними Cnet фальшиве вікно з'являється поверх цього так швидко, що більшість користувачів просто не помітять підміни.

У компанії Google визнали існування такої можливості, однак зазначили, що поки фахівцям з безпеки невідомо про випадки використання функції кіберзлочинцями.

Android все частіше стає об'єктом критики експертів з інформаційної безпеки. На думку деяких фахівців, мобільна платформа від Google "занадто відкрита" для розробників. Це дозволяє кіберзлочинцям створювати шкідливі версії легальних програм, які практично не відрізнити від оригіналу.



Крім того, критику експертів викликає політика безпеки в онлайн-магазині додатків для мобільної платформи від Google - Android Market, яка допускає можливість публікації програми без ретельної перевірки на наявність шкідливого коду. Це призводить до того, що небезпечні програми залишаються у відкритому доступі протягом тривалого часу і встигають потрапити в десятки тисяч смартфонів і планшетів.

Основний конкурент Google Android, мобільна платформа iOS, на якій працюють мобільні пристрої компанії Apple (iPhone, iPad та ін) має набагато більш серйозний захист від хакерських атак, вважають експерти.

Нагадаємо, минулого тижня головний юрист Google Девід Драммонд, обрушився зі звинуваченнями на Microsoft, Apple, Oracle та "інші компанії". На його думку, конкуренти об'єдналися, щоб ускладнити входження Google на ринок смартфонів. Конкуренти скуповують патенти, щоб змусити Google платити за Android все більше і більше, вважає юрист. "Microsoft і Apple завжди хотіли перегризти один одному горлянки. Коли вони починають спати разом, то мимоволі замислюєшся про причини", - написав Драммонд у своєму блозі.

Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію.
powered by lun.ua

ЧИТАЙТЕ ТАКОЖ

Загрузка...

Корреспондент.net в соцмережах