Исследователи в области безопасности, работающие в AdaptiveMobile Security, утверждают, что обнаружили уязвимость, связанную с SIM-картами. Она получила название Simjacker. Уязвимость основана на использовании встроенной в карту программы S@T Browser, которая предназначена для исполнения команд, поступающих в виде SMS. Команды позволяют, в частности, получить идентификатор IMEI и информацию о текущем местоположении — аппарат передает эти данные также в виде SMS, незаметно для своего владельца.
Рубрика: Уязвимости
About Уязвимости
В сентябрьский набор обновлений для Android не вошел патч для опасной 0-day уязвимости
На этой неделе разработчики Google выпустили сентябрьский набор патчей, исправив почти 50 различных уязвимостей в Android. Однако эксперты Trend Micro Zero Day Initiative предупредили, что одна опасная 0-day проблема так и осталась без патча.
Уязвимость была обнаружена еще весной текущего года, и эксперты долго ждали ее исправления. Когда патча не обнаружилось и в сентябрьском наборе исправлений, исследователи решили публично обнародовать информацию о баге. По мнению специалистов, проблема оценивается на 7,8 баллов из 10 возможных. Подробнее «В сентябрьский набор обновлений для Android не вошел патч для опасной 0-day уязвимости»
Уязвимость в Android позволяет перехватывать конфиденциальные данные
Специалисты Nightwatch Cybersecurity обнаружили опасную уязвимость в Android (CVE-2018-9489).
Проблема связана широковещательными сообщениями (Broadcast), а именно с механикой работы Intent — «намерений», которые используются для абстрактного описания операций и позволяют приложениям и ОС транслировать общесистемные сообщения, которые могут быть прочитаны любыми приложениями или компонентами самой ОС. По сути, «намерения» используются для межпроцессного взаимодействия и чаще всего применяются для вызова другой Activity, например, запуска браузера и перехода по заданному адресу. Подробнее «Уязвимость в Android позволяет перехватывать конфиденциальные данные»
Уязвимость позволяла внедрять вредоносный код в подписанные APK
На прошлой неделе компания Google исправила более 45 различных проблем в Android в рамках «вторника обновлений». Как выяснилось теперь, среди этих багов была уязвимость CVE-2017-13156, обнаруженная специалистами компании GuardSquare.Получившая название Janus проблема актуальна для Android 5.0 и старше; она позволяет внедрять в приложения вредоносный код, не затронув сертификат, удостоверяющий его подпись. Подробнее «Уязвимость позволяла внедрять вредоносный код в подписанные APK»
High-Tech Bridge: более 90% криптовалютных приложений для Android содержат как минимум три уязвимости
В настоящее время в Google Play представлено множество различных приложений, предназначенных для управления криптовалютами. Специалисты швейцарской компании High-Tech Bridge провели исследование данной области рынка, которое показало, что подавляющее большинство таких решений плохо защищены и уязвимы даже перед самыми банальными и известными проблемами. Подробнее «High-Tech Bridge: более 90% криптовалютных приложений для Android содержат как минимум три уязвимости»
Баг в Android позволяет фиксировать все происходящее на экране и записывать аудио на 3 устройствах из 4
Специалисты MWR Labs рассказали (PDF) о новом, довольно интересном векторе атак на Android-устройства. Исследователи утверждают, что их атака сработает против гаджетов, работающих под управлением Lolipop, Marshmallow и Nougat, а это порядка 77,5% от всех устройств на базе Android. Подробнее «Баг в Android позволяет фиксировать все происходящее на экране и записывать аудио на 3 устройствах из 4»
