Positive Technologies обнаружила опасную многолетнюю уязвимость в Android

Злоумышленники потенциально могут получить доступ к важной информации на смартфоне — от истории посещений в браузерах до сессий мессенджеров и банковских приложений. В настоящее время уязвимость устранена в Google Chrome 72. Пользователям рекомендуется проверить версию браузера на своих устройствах.

Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). 

Специалисты Google оценивают уровень опасности данной уязвимости (CVE-2019-5765) как высокий.  

«Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны, — отмечает специалист группы исследований безопасности мобильных приложений Positive Technologies Сергей Тошин. — Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные».   

WebView — компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, Яндекс.Браузер. 

Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением. 

«Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер, — отмечает Сергей Тошин. — На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства».  

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Мобильная связь, ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

22.10.2019 Саечка за испуг. Правительство пошло навстречу ИТ-гигантам

16.10.2019 Tele2 намерен занять петербургское метро

10.10.2019 Блокчейн во впадине разочарования

09.10.2019 МегаФон увеличит кэшбэк за лояльность

08.10.2019 GSMA прогнозирует России лидерство среди стран СНГ по коммерциализации услуг 5G

07.10.2019 Операторы доставки ТВ-контента не умрут, но будут жить менее счастливо

02.10.2019 SelectelTechDay: в мире высокоуровневых платформ

01.10.2019 Ноутбуки – драйвер рынка игровых устройств

MSKIT.RU: последние новости Москвы и Центра

22.10.2019 Саечка за испуг. Правительство пошло навстречу ИТ-гигантам

10.10.2019 Блокчейн во впадине разочарования

08.10.2019 GSMA прогнозирует России лидерство среди стран СНГ по коммерциализации услуг 5G

07.10.2019 Операторы доставки ТВ-контента не умрут, но будут жить менее счастливо

02.10.2019 SelectelTechDay: в мире высокоуровневых платформ

01.10.2019 Ноутбуки – драйвер рынка игровых устройств

26.09.2019 «ЭР-Телеком» хочет нарастить выручку до 90 млрд рублей

16.09.2019 EOS for SharePoint в ГК «Пионер»: 500 пользователей работают с документами в едином информационном пространстве

NNIT.RU: последние новости Нижнего Новгорода

22.10.2019 Саечка за испуг. Правительство пошло навстречу ИТ-гигантам

10.10.2019 Блокчейн во впадине разочарования

08.10.2019 GSMA прогнозирует России лидерство среди стран СНГ по коммерциализации услуг 5G

07.10.2019 Операторы доставки ТВ-контента не умрут, но будут жить менее счастливо

02.10.2019 SelectelTechDay: в мире высокоуровневых платформ

01.10.2019 Ноутбуки – драйвер рынка игровых устройств

26.09.2019 «ЭР-Телеком» хочет нарастить выручку до 90 млрд рублей

16.09.2019 EOS for SharePoint в ГК «Пионер»: 500 пользователей работают с документами в едином информационном пространстве