Сегодня 18 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft обнаружила в Android опасный баг, позволяющий взламывать смартфоны через приложения

Разработчики Microsoft выявили серьезную уязвимость в популярных приложениях для мобильной платформы Android. Данная уязвимость позволяет злоумышленникам удаленно запускать вредоносный код, красть пользовательские данные и токены аутентификации.

 Источник изображения: Denny Müller/Unsplash

Источник изображения: Denny Müller/Unsplash

Согласно отчету Microsoft, уязвимость затрагивает как минимум четыре приложения из магазина Google Play с миллионными скачиваниями. Среди них популярный файловый менеджер от китайской компании Xiaomi и офисный пакет WPS Office. Каждое из этих приложений получило более 500 миллионов установок.

В чем заключается уязвимость? Дело в том, что многие программы для Android используют специальный механизм для безопасного обмена файлами с другими приложениями. Однако при получении файла от стороннего приложения они не проверяют его содержимое и используют имя файла, указанное отправителем, для сохранения во внутреннем хранилище. Этим и пользуются злоумышленники, создавая вредоносные приложения, которые отправляют файлы с опасными именами уже в целевые программы. Например, вредоносное приложение может отправить файл с именем настроек почтового клиента, браузера или мессенджера. Получив такой файл, целевое приложение сохранит его в своей папке и начнет использовать для работы, что приведет к компрометации программного решения и утечке конфиденциальных данных.

По словам экспертов Microsoft, потенциальные последствия могут быть достаточно серьезными. Например, злоумышленники могут перенаправить трафик приложения на свой сервер, получить доступ к пользовательским токенам аутентификации, личным сообщениям и другой ценной информации.

Microsoft проинформировала Google об обнаруженной проблеме. В свою очередь, Google выпустила руководство для разработчиков по выявлению и устранению данной уязвимости в приложениях Android. Кроме того, Microsoft напрямую связалась с поставщиками уязвимого ПО в магазине Google Play. В частности, компании Xiaomi и WPS Office уже выпустили обновления, закрывающие дыру в безопасности.

Тем не менее, в Microsoft полагают, что аналогичным образом может быть уязвимо гораздо большее количество приложений для Android. Компания призывает всех разработчиков тщательно тестировать свои продукты. Для рядовых пользователей дана рекомендация регулярно обновлять приложения до последних версий и устанавливать только проверенные программы из официального магазина Google Play.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
ИИ от OpenAI обошёл все команды из людей, а заодно и Google Deepmind, на чемпионате по программированию 58 мин.
Похоже, в Cyberpunk 2 всё-таки появится мультиплеер — вакансия выдала планы CD Projekt Red 2 ч.
Google превращает Discover в «новостную соцсеть» с подписками и постами из X и Instagram 3 ч.
Reddit готовит новый контракт с Google по интеграции с ИИ-сервисами 5 ч.
Даже авторы сценария The Wolf Among Us 2 не знают, что происходит с игрой 13 ч.
Nothing анонсировала OS 4.0 — интерфейс стал проще, а камера умнее 15 ч.
Paradox добавила возмутившие фанатов платные кланы в стандартное издание Vampire: The Masquerade — Bloodlines 2 и анонсировала два сюжетных DLC 16 ч.
Жертвы утечки данных Facebook через Cambridge Analytica начали получать выплаты от Цукерберга 16 ч.
В мессенджере Max начинаются «открытые» тесты каналов — создавать их разрешат блогерам из реестра РКН 16 ч.
В России выплатили первую зарплату в цифровых рублях 18 ч.
Стартап Groq привлёк на развитие $750 млн, получив оценку в $6,9 млрд 19 мин.
Dell представила ИИ-сервер PowerEdge XE7740 с ускорителями Intel Gaudi 3 21 мин.
Представлены умные очки Ray-Ban Meta Gen 2 с удвоенным временем автономной работы 26 мин.
Meta представила умные AR-очки Ray-Ban Display со встроенным дисплеем и браслетом в придачу 28 мин.
Logitech анонсировала игровую гарнитуру Astro A20 X, которая умеет работать с двумя устройствами сразу 36 мин.
За июль роботакси Tesla попали в три ДТП, но компания постаралась замести следы 53 мин.
Huawei представит четыре новых ИИ-ускорителя Ascend за три года, чтобы догнать и перегнать Nvidia 2 ч.
Вы нам — SMR, мы вам — ядерное топливо: американские и британские компании подписали целый ряд соглашению по развитию АЭС для питания ЦОД 3 ч.
Apple рассматривает возможность организации сборки складного iPhone на Тайване и в Индии 3 ч.
За пять лет количество расследований в сфере промышленного шпионажа на Тайване выросло на 31 % 4 ч.