Пользователю достаточно лишь перейти по ведущей к эксплойту ссылке.
Об этом на конференции PacSec в Токио сообщил Гуан Гун, исследователь из компании Quihoo 360. При этом специалист лишь показал, как злоумышленники могут воспользоваться уязвимостью, не раскрывая всех деталей.
Баг в мобильном Google Chrome работает следующим образом: при переходе по вредоносной ссылке на смартфон устанавливается приложение. Данная операция проводится в фоновом режиме, поэтому является совсем незаметной для пользователя.
Чтобы продемонстрировать эксплойт в действии Гуан Гун вышеуказанным образом установил на мобильное устройство обычную игру – симулятор езды на BMX. Но в случае с злоумышленниками это могло бы быть приложение, крадущее персональные данные пользователя, ещё хуже – платёжную информацию, или же вовсе берущее гаджет под контроль.
Уязвимость появилась лишь в последней версии браузера от Google, однако затрагивает абсолютно все версии платформы Android. Эксплойт использует изъян в новом движке JavaScript v8, который значительно ускоряет работу JavaScript-кода, преобразовывая его в машинные инструкции. Именно благодаря ему исследователь из Quihoo 360 смог получить доступ администратора ко всей системе.
Гун изучал баг в течение трёх месяцев, а затем передал собранные данные о нём в лабораторию Google. По словам организатора PacSec Драгоша Руйу, Гун намерен получить от Корпорации Добра награду за найденную уязвимость, ведь никаких деталей он публично не раскрывал. [theregister]
Напомним, что это уже не первый случай обнаружения «дыр» в системе безопасности Android. Недавно было обнаружено три семейства неудаляемых вредоносных программ.
(1 голосов, общий рейтинг: 4.00 из 5)
8 комментариев
Форум →Именно такими штуками меня всегда пугал Андройд и тем, что это была первая мобильная операционка на которую можно установить АНТИВИРУС … жесть, спасибо ЯБЛОКО за отсутствие подобных “схем”
@Gottex, в ios тоже были и есть такие уязвимости. Достаточно вспомнить как на одну из версий устанавливался джейл через браузер. Только вместо или вместе с джейлом мог залиться какой нибудь троян. Так же недавно какая то фирма выплатила что то там мильён долларов чуваку за аналогичную уязвимость в текущей версии ios
@mlserg, так в иос сначала взломать систему, а потом только ловить вирусняки, андроид же открыт изначально, все просто
@Dipreszio, >андроид же открыт изначально
Для чего открыт? Единственный способ вирусу попасть на телефон это ручная установка пользователем с его согласия. Антивирусы там нужны так же как на иос. Просто не надо ставить левые программы с накруткой голосов или просмотром гостей в соц сетях
@Gottex, далеко не первая. Видимо, вы не пользовались s60. iOS в большей степени безопасна из-за своей закрытости.
@Gottex, На simbian и windows mobail антивирусы не ставились не?
> при переходе по вредоносной ссылке на смартфон устанавливается приложение
Ну это если в настройках смарта включена опция, что разрешается устанавливать приложения из сторонних источников, иначе не сработает, разве нет?!
Люди, кликающие по всяким левым ссылкам, всегда были и будут, равно как и те, кто в качестве паролей использует 123456 и password.
На всех дураков защит не придумать.
@SKID, не так – вредоносную ссылку можно встроить в любой сайт и вы знать ничего не будете что куда то кликнули, скажем нажмете перейти на другую страницу или нажмете в mail рассылке отписаться от спама и все. И да, только по этому не пользуюсь андройд – интернет банк на него точно нельзя ставить.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как установить iOS 16.4 beta 1 на iPhone и включить ввод свайпом для русской клавиатуры
Как настроить гид-доступ на iPad?
Почему пропадают сохранения в играх после авторизации через Apple ID
Как изменить скорость видео на iPhone
Как в iOS 15 добавить виброотклик клавиатуры из iOS 16
Как отменить отправку письма на iPhone
В macOS пропало перетаскивание (выделение) тремя пальцами с помощью трекпада
Почему старый iPhone начинает плохо работать