| +33 голоса |
|
Группа исследователей Калифорнийского университета в Риверсайде (UC Riverside) выявила уязвимость системы Android, по их словам присутствующую также в мобильных ОС, Windows и iOS. Она может быть использована для получения персональной информации без ведома владельца устройства.
Свой тезис авторы проиллюстрировали, преодолев защиту смартфона на базе Android. Развернутое испытание новой методики показало, что она успешно взламывает шесть из семи популярных приложений в 82-92% случаев.
В числе пострадавших программ были Gmail, CHASE Bank и H&R Block. Приложение Amazon единственное в эксперименте смогло оказать некоторое сопротивление атаке: доля успеха тут составила лишь 48%.
Подвергнуться нападению пользователь может загрузив безопасную с виду программу, например обои для экрана смартфона. После установки приложения его авторы получают возможность использовать «черный ход» — статистику коллективной памяти процессов, доступ к которой не требует никаких привилегий.
Отслеживая изменения в общей памяти, можно соотнести их с «активными переходными событиями», например с входом в Gmail или загрузкой фотографии чека в онлайновое банковское хранилище. Таким образом открывается возможность контролировать действия пользователя в реальном времени.
Приложение Amazon пострадало меньше других, так как позволяет одному виду деятельности переходить почти в любой другой, и догадаться, чем оно занимается в данный момент, очень непросто.
Для успеха взлом требуется выполнить точно в момент входа в учетную запись онлайнового сервиса, а кроме того, сделать это незаметно для пользователя. Авторы смогли справиться с обеими этими задачами и записали несколько видеороликов, иллюстрирующих процесс атаки по их методу.
С докладом «Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks» будут ознакомлены участники симпозиума USENIX, открывающегося сегодня в Сан-Диего.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +33 голоса |
|
