Более миллиарда устройств на базе Android уязвимы к атакам класса "повышение привилегий"

Источник: securitylab.ru

ИБ-эксперты обнаружили в ОС шесть Pileup-уязвимостей, который присутствуют в версиях Android Open Source Project и более чем 3,5 тысячах кастомизированных версий платформы.

Более миллиарда устройств, работающих на базе Android, уязвимы к атакам класса "повышение привилегий". Об этом свидетельствует доклад, подготовленный совместными усилиями Индианского университета в Блумингтоне иMicrosoft.

Как утверждают специалисты, повышение привилегий через обновление (privilege escalation through updating, pileup) предоставляет злоумышленникам большие возможности установить вредоносные приложения после установления апдейта. При этом пользователь может даже не подозревать о происходящем.

В докладе эксперты по вопросам ИБ отметили, что обновления для ОС выпускаются раз в несколько месяцев, что приводит к появлению огромнейшего количества новых и дополнительных файлов. Для того чтобы программа не затронула уже установленные на устройстве приложения, ее необходимо очень тщательно настроить.

В докладе также сообщается о том, что в Android обнаружено шесть Pileup-уязвимостей, который присутствуют в версиях Android Open Source Project и более чем 3,5 тысячах кастомизированных версий Android, а это свыше миллиарда уязвимых устройств.Googleуведомили о брешах, и на текущий момент уже исправлена однауязвимость.

По словам исследователей, главная проблема заключается в том, что для большей удобности пользователя уведомления о появлении на платформе нового приложения не отображаются, а устанавливаются в фоновом режиме. Таким образом, владелец Android-устройства не может повлиять на процесс обновления.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=36307