| 0 |
|
Сегодня только небольшая часть мобильных приложений написана на HTML5, но согласно последним прогнозам к 2016 г. их будет около 50%, и тогда, судя по всему, проблема атак на смартфоны методом Cross-Device Scripting (XDS) (скриптинга между устройствами, в определенной мере схожим с межсайтовым внедрением кода) станет весьма актуальной.
Исследователи Сиракьюсского университета (Syracuse University, Сиракьюс, штат Нью-Йорк, США) опубликовали статью «XDS: Cross-Device Scripting Attacks on Smartphones through HTML5-based Apps», в которой подробно описан новый метод взлома через HTML5-приложения в популярные Android-смартфоны, iPhone, Blackberry. Для внедрения вредоносного кода злоумышленники могут использовать самые разные популярные каналы, в том числе Wi-Fi сканирование, Bluetooth-соединения, SMS, сканирование QR-кодов, плееры MP3 и MP4.
При сканировании вредоносного QR-кода HTML5-приложением, оно само компрометируется. Но, например, при воспроизведении вредоносного MP3 файла в приложении, написанном на нативном для системы языке (JavaScript для Android, Objective-C для iOS), сам программный плеер не пострадает. Внедрение кода через Wi-Fi сканирование наиболее интересно, поскольку не требует подключения к атакующей сети, достаточно обнаружить устройство в поле зрения с помощью специального HTML5-приложения. В зоне риска также находятся те, кто использует HTML5-приложения для отправки SMS, взломать их аппарат передав специальное SMS. После внедрения кода злоумышленник получает доступ к той же информации, что имеет скомпрометированное приложение (как правило, это адресная книга, данные о местоположении, SMS).
Самое же привлекательное для хакера — ему достаточно создать одну версию кода для взлома любой платформы. Мобильное приложение, допускающее новый тип атаки, выявлено в одном из популярных маркетов и уже имеет более миллиона загрузок. Его разработчики уведомлены о проблеме.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
