Другие новости
Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года
Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран
Более пяти тысяч участников объединил Moscow Startup Summit
Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»
Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы
Ошибки в Android делают уязвимым каждый смартфон и планшет
Экономика
Шесть новых уязвимостей в мобильной платформе Android, благодаря эскалации привилегий, подвергают опасности со стороны вредоносного кода более миллиарда устройств.
В недавно опубликованном отчете исследователей из Университета Индианы и Майкрософт описывается новый класс уязвимостей операционной системы Androidпод названием «Pileup». Особенность их заключается в том, что без информирования пользователя вредоносный код может получить привилегии во время обновления Android.
Постоянно появляющиеся обновления приложений приводят к замене тысяч файлов в системе. Каждому новому приложению, устанавливаемому в системе необходима корректная конфигурация его атрибутов внутри собственной песочницы и привилегий в системе. Все это не должно привести к повреждению уже установленных приложений и пользовательских данных. Это усложняет программную логику для установления апдейтов, делая процесс чувствительным к ошибкам в безопасности.
Суть проблемы в том, что для удобства пользователей Android, интерфейс не выдает всплывающие запросы о новых разрешениях, а вместо этого автоматически их раздает в фоновом режиме, не ставя пользователя в известность.
Исследователи заявили, что нашли шесть различных ошибок типа Pileupвнутри AndroidPackageManagementService (PMS) и говорят, что эти уязвимости присутствуют во всех версиях операционной системы.
Исследователи также представили новый сканер под названием SecUP, который обнаруживает вредоносные приложения, уже имеющиеся на устройстве и ожидающие повышения привилегий. Сканнер проверяет код PMSдля определения нарушений и установки ограничений.
Все выявленные проблемы были переданы в компанию Googleи она уже закрыла одну уязвимость.
