Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 6 Nov 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Уязвимость во всех версиях Android позволяет генерировать SMS с произвольного номера

    Проблема с утечками привилегий в операционной системе Android позволяет приложениям получать доступ к функциям телефона, которые им не разрешены. Ранее проведённые исследования с тестированием восьми моделей смартфонов Android показали, что проблема присутствует во всех из них. Например, в таблице ниже показано, какие конкретно разрешения удалось получить приложениям, которые были установлены на устройство без соответствующих прав.

    [​IMG]

    Процитированная выше работа является исключительно академической, но теперь группа исследователей из государственного университета Северной Каролины сообщили о находке конкретного способа, как любое приложение может получить доступ к функции WRITE_SMS, то есть может эмулировать на устройстве приход SMS с произвольным текстом с любого номера. Подобная функция исключительно полезна для проведения атак типа SMiShing (SMS-фишинг). Злоумышленники могут присылать пользователю фиктивные SMS с доверенного номера, содержащие вредоносную ссылку.

    Исследователи говорят, что им неизвестно о случаях применения этого способа в конкретных атаках, по при этом упоминают несколько известных случаев SMS-фишинга: 1, 2, 3. Так что вполне вероятно, что данная техника уже используется на практике.

    Информация с техническими подробностями об уязвимости была отправлена в Google 30 октября, спустя двое суток получено подтверждение. Технические детали осуществления «утечки привилегий» не будут опубликованы в свободном доступе до тех пор, пока Google не исправит ошибки в коде Android.

    Интересно, что исследователи проверили и подтвердили наличие данной уязвимостей во всех версиях Android, начиная с 1.6 и заканчивая 4.1.

    Для демонстрации они создали концепт программы, которая устанавливается на телефон без всяких разрешений и генерирует SMS с произвольного номера, как показано на скриншотах и на видео внизу. Что интересно, на телефоне в демонстрационном видео даже отсутствует SIM-карта, так что он в принципе не должен принимать никаких SMS.

    [​IMG]
    [​IMG]
    [​IMG]

    Демонстрационное видео https://www.youtube.com/watch?v=gLujaf0Y4-A&feature=player_embedded

    06.11.2012
    http://www.xakep.ru/post/59587/​
     
    #1 Solitude, 6 Nov 2012
  2. rossoo

    rossoo наркоша

    Joined:
    14 Feb 2010
    Messages:
    142
    Likes Received:
    50
    Reputations:
    13
    эпл гавно, андроид тру
     
    #2 rossoo, 6 Nov 2012
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,497
    Likes Received:
    16,632
    Reputations:
    373
    Это не бага, это фича. Принимать SMS без сим карты - прорыв!
     
    _________________________
    #3 user100, 6 Nov 2012
(You must log in or sign up to post here.)