Новости Software

Новая уязвимость в Android позволяет хакерам осуществлять невидимые действия

Исследователи Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии обнаружили новый класс атак на Android, который называется Cloak and Dagger. Он позволяет злоумышленникам осуществлять действия на смартфоне втайне от пользователя: например, записывать нажатия кнопок и устанавливать программное обеспечение.

Уязвимости класса Cloak and Dagger используют особенности пользовательского интерфейса Android и требуют лишь двух разрешений: SYSTEM ALERT WINDOW (draw on top) и BIND ACCESSIBILITY SERVICE (a11y).

Это обеспокоило исследователей, поскольку Android автоматически предоставляет разрешение на рисование поверх окон (draw on top) всем приложениям из Google Play. После получения этого разрешения хакер легко может получить и второе — a11y. Приложения с поддержкой Cloak and Dagger скрывают слой вредоносной активности под безвредными визуальными эффектами, из-за чего пользователь может нажимать на невидимые элементы и активировать алгоритмы регистрации нажатия кнопок.

«Что ещё хуже, мы заметили, что приложение с доступом может запускать события, разблокировать телефон и взаимодействовать с любыми другими приложениями, когда экран отключен,пишут исследователи. — Так хакер может совершить серию вредоносных операций, когда экран полностью отключен, а затем снова заблокировать телефон и оставить пользователя в неведении».

Google уже известно об уязвимости. «Мы тесно работали с исследователями и, как всегда, ценим их усилия, направленные на обеспечение безопасности наших пользователей, — заявил представитель компании. — Мы обновили Google Play Protect — наши службы безопасности на всех устройствах на базе Android с Google Play, — чтобы обнаружить и предотвратить установку этих приложений. Ещё до появления этого отчёта мы встроили новые системы безопасности в Android O, которые укрепят защиту от этих проблем».

Один из исследователей, Яник Фратантонио (Yanick Fratantonio), рассказал TechCrunch, что последние обновления для Android могут защитить от Cloak and Dagger. Команда проведёт ряд тестов и обновит сайт. Пока он советует не загружать незнакомые приложения и следить за упомянутыми разрешениями.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Для TES V: Skyrim вышел мод, который позволяет брать с собой до десяти компаньонов и настраивать их 17 мин.
В Diablo II: Resurrected добавят DLSS после релиза 21 мин.
Следующий выпуск Nintendo Direct пройдёт в ночь с четверга на пятницу и расскажет о выходящих зимой играх для Switch 39 мин.
Платформа «МойОфис» получила свыше 550 доработок и улучшений, делающих работу с документами более эффективной 49 мин.
В CS:GO изменили Dust2, добавили баллистический щит и короткие матчи 2 ч.
Желающих обновить старые ПК до Windows 11 заставят отказаться от возможных претензий 3 ч.
Mozilla: «Новая функция Chrome делает возможным наблюдение за пользователем» 3 ч.
Первые разработчики получили девкиты Steam Deck и вынесли предварительные вердикты 4 ч.
Состоялся релиз Google Chrome 94: оптимизированы настройки, появились режим HTTPS-First и возможность поделиться веб-контентом 5 ч.
Facebook приняла более агрессивную стратегию защиты своей репутации 5 ч.
Honor в конце недели представит планшет Tablet V7 2 мин.
Представлен робочемодан Gitamini, способный самостоятельно следовать за хозяином 57 мин.
Компактный компьютер UP Xtreme i11 Edge поддерживает 5G, Wi-Fi 6 и ускорители Myriad X 60 мин.
Samsung скоро выпустит свой самый доступный 5G-смартфон — Galaxy A13 5G получит 50-Мп камеру и батарею на 5000 мА·ч 2 ч.
Продажи 5G-смартфонов в развивающихся регионах набирают обороты 2 ч.
Генсек ООН раскритиковал миллиардеров Безоса и Брэнсона за путешествия в космос — нужно решать проблемы на Земле 2 ч.
МТС наделила автомобили Haval в России поддержкой управления через интернет — первые два года с бесплатным трафиком 2 ч.
Будущий флагман Core i9-12900K оказался заметно быстрее Ryzen 9 5950X в тесте Cinebench R23 3 ч.
Представлен смартфон Nokia G50 с большим экраном, поддержкой 5G и батареей на 5000 мА·ч 3 ч.
Сроки исполнения заказов на iPhone 13 оказались выше, чем у iPhone 12 год назад — это либо высокий спрос, либо дефицит 3 ч.