Во всех Android-смартфонах есть баг, который позволяет взламывать любые приложения

Как бы сильно компания Google не старалась сделать операционную систему Android максимально защищенной, хакеры регулярно находят новые бреши в системе защиты, некоторые из которых зачастую оказываются критическими. Сегодня выяснилось, что во всех Android-смартфонах имеется баг, который позволяет взламывать системные приложения, причем делается это даже без root-прав, то есть в зоне риска находятся абсолютно все владельцы современных мобильных устройств и планшетов.

В ходе своего доклада группа бельгийских исследователей компьютерной безопасности из компании GuardSquare сообщила о том, что ей удалось обнаружить в операционной системе Android критическую уязвимость, позволяющую производить взлом системных приложений. Отмечается, что в основе этой бреши лежит баг в системе. С его помощью злоумышленники и недобросовестные разработчики могут вносить изменений в APK-файлы приложений или игр без повреждениях их подписи.

Редакция AKKet.com хочет заметить, что когда какой-то разработчик создает готовый APK-файл приложения для последующего распространения, то он подписывает его своим сертификатом, гарантирующим, что в процессоре распространения он не будет кем-то изменен. Системные приложения работает по точно такому же принципу. Обнаруженный баг позволяет вносить в файлы любых программ и игр изменения таким образом, чтобы подпись разработчика, а в данном случае компании Google, не нарушалась.

Обнаруженный экспертами баг работает во всех версиях операционной системы Android, однако в полной мере только в паре с JAR-подписями, которые были замерены на Signature Scheme v2 в операционной системе Android 7.0 Nougat. Даже на смотря на замену способа проверки подписи, очень многие системные и сторонние приложения даже на Android 8.0 Oreo могут быть изменены без нарушения подписи разработчика. На более ранних версиях ОС этот способ работает абсолютно со всем ПО.

Не смотря на то, что компания GuardSquare сообщила в Google об обнаруженном баге еще 31 июля, то есть сразу после его обнаружения, исправлен он был только в декабрьском патче безопасности, который сейчас доступен менее чем на 1% мобильных устройств на рынке. Всем владельцам смартфонов следует как можно скорее установить его, если он доступен, тогда как всем остальным надеяться, что вредоносное ПО никогда не решит воспользоваться багом в работе системы проверки подписей.

До 21 октября включительно у всех желающих есть уникальная возможность бесплатно получить спортивный браслет Xiaomi Mi Band 3, потратив на это всего 1 минуту своего личного времени.

Присоединяйтесь к нам в Twitter, Facebook, ВКонтакте, YouTube, Google+ и RSS чтобы быть в курсе последних новостей из мира технологий будущего.

Не забывайте соблюдать правила общения.

Добавить комментарий

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

1 комментарий

сначала новые
по рейтингу сначала новые по хронологии
id366423290

хах,мне известно об этом уже очень давно. Думаю,что всем продвинутым юзерам известен этот факт. Но кому-то "сверху" было выгодно не заявлять об этом. Ни одна система не является безопасной .Самой защищённой,на данный момент,является,конечно же, iOS,но увы их и ах, даже её ,при желании ,можно взломать. А вот багов в ней,связанных с безопасностью,ничтожно мало,по сравнению с другими OC.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: