Positive Technologies обнаружила опасную многолетнюю уязвимость в Android

Злоумышленники потенциально могут получить доступ к важной информации на смартфоне — от истории посещений в браузерах до сессий мессенджеров и банковских приложений. В настоящее время уязвимость устранена в Google Chrome 72. Пользователям рекомендуется проверить версию браузера на своих устройствах.

Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данным пользователей Android через установленное вредоносное приложение или приложение с мгновенным запуском (Android instant apps). 

Специалисты Google оценивают уровень опасности данной уязвимости (CVE-2019-5765) как высокий.  

«Компонент WebView сегодня используется в большинстве мобильных приложений Android, поэтому атаки на него крайне опасны, — отмечает специалист группы исследований безопасности мобильных приложений Positive Technologies Сергей Тошин. — Самый очевидный сценарий атаки связан с малоизвестными сторонними приложениями. Злоумышленник может добавить в них вредоносную функциональность для считывания информации из WebView других приложений, что позволит ему перехватывать историю браузера, аутентификационные токены и заголовки (которые являются довольно распространенным способом аутентификации) и другие данные».   

WebView — компонент платформы Android, который дает возможность отображать веб-страницы внутри Android-приложения. Проблема обнаружена в движке Chromium, на котором построен WebView, начиная с Android 4.4. Уязвимость также угрожает пользователям мобильных браузеров на базе Chromium, таких как Google Chrome, Samsung Internet, Яндекс.Браузер. 

Технология instant apps позволяет просмотреть приложение на устройстве без установки: на устройство пользователя скачивается только небольшой файл после перехода по ссылке в браузере. При атаке через instant apps перехват данных возможен, если пользователь нажмет на ссылку с вредоносным мгновенным приложением. 

«Начиная с Android 7.0, компонент WebView реализован через Google Chrome, поэтому для исправления уязвимости надо просто обновить этот браузер, — отмечает Сергей Тошин. — На более старых версиях Android придется актуализировать компонент WebView через систему обновления Google Play. Пользователям оборудования, на котором отсутствуют сервисы Google, нужно дождаться обновления WebView от поставщика устройства».  

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Мобильная связь, ПО, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

16.04.2019 ИТ-услуги растут быстрее ВВП

10.04.2019 В 2023 году ретейл потратит на AI на 230 % больше денег

09.04.2019 Складные телефоны: 5 % рынка к 2023 году

05.04.2019 Россияне покупают 100 тысяч устройств для умного дома в месяц

03.04.2019 Облачная экспонента

28.03.2019 ИБ становится дороже

27.03.2019 Agile в Петербурге прижился лучше, чем в Москве

20.03.2019 Рынок носимых устройств будет расти за счет нового функционала

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода