Ошибка в Android открывает путь вредоносным программам

Николай Головко 11 Ноября 2010 - 07:50

Android

Google

Android

Вредоносные программы

Уязвимости программ

...

Исследователям в области безопасности удалось обнаружить уязвимости в операционной системе Google Android; эксплуатация этих ошибок может позволить злоумышленникам установить на мобильные устройства пользователей вредоносное программное обеспечение.

Всего уязвимостей две; более серьезную и опасную из них эксперты продемонстрировали в среду, 10 ноября, разместив в магазине Android Market приложение-образец. Концептуальная программа была замаскирована под расширение для популярной игры Angry Birds; при запуске она тайно устанавливала еще три приложения, которые получали доступ к адресной книге, геолокационным данным, функциям SMS, а также осуществляли соединения с удаленным сервером - и все эти действия производились в обход встроенной системы выдачи предупреждений, которая служит защитой пользователям Android.

Один из исследователей, сотрудник Scio Security Джон Оберхейд, отметил, что приложение-эксплойт удалили из магазина примерно через 6 часов. Проблема, однако, не в конкретном программном продукте, а в метках безопасности, которые Google применяет для аутентификации пользователей Android; эти метки являются частью системы, напоминающей реализацию технологии единого входа, и благодаря им пользователь может не раскрывать свой пароль третьесторонним службам. Однако в системе меток имеются недочеты, которые и проэксплуатировали специалисты по безопасности.

"Наше концепт-приложение способно использовать метки безопасности в своих целях, и с их помощью оно получает возможность выполнять все те же самые действия, что и легитимные продукты из магазина Android Market, но без появления запросов на разрешение той или иной операции", - пояснил г-н Оберхейд. - "Изучив проблему, мы выяснили, что одну-единственную метку, принадлежащую некоторой службе Android, можно задействовать для обхода любых ограничений встроенной системы защиты".

Представители Google сообщили, что в настоящее время идет работа над официальным комментарием компании по поводу выявленных г-ном Оберхейдом и его коллегой по работе с уязвимостями Заком Ланье ошибок безопасности.

Необходимо заметить, что в тот же день поступила информация о еще одной проблеме - на этот раз во встроенном Интернет-обозревателе Android. Исследователь из Великобритании продемонстрировал, как потенциальный злоумышленник может установить вредоносное ПО на коммуникатор HTC Legend под управлением Android 2.1 со всеми доступными обновлениями. Актуальный выпуск мобильной ОС Google - 2.2, но, по сведениям самой компании, 64% владельцев Android-устройств все еще работают с версией 2.1.

The Register

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 16:09

Windows Домашние пользователи Google

В Google Chrome усложнили кражу cookie — новая защита от угона сессий

Google перевела функцию Device Bound Session Credentials (DBSC) в общую доступность для пользователей Chrome на Windows. Теперь эта защита работает в Chrome 146 и должна заметно осложнить жизнь тем, кто крадёт сессионные cookies, чтобы потом входить в чужие аккаунты без пароля.

Принцип работы DBSC кроется в том, что браузер не просто хранит cookie, а криптографически привязывает сессию к конкретному устройству.

Даже если зловред украдёт cookie из браузера, использовать их на другой машине будет уже гораздо труднее — по сути, они быстро потеряют ценность для атакующего.

Особенно актуально это на фоне популярности так называемых инфостилеров. Такие вредоносные программы собирают с заражённых устройств всё подряд: пароли, данные автозаполнения, токены и, конечно, cookie. Этого бывает достаточно, чтобы злоумышленник зашёл в учётную запись жертвы, даже не зная её пароль. Потом такие данные нередко перепродают другим участникам киберпреступного рынка.

DBSC должна ломать именно такой сценарий. На Windows технология опирается на Trusted Platform Module, а на macOS — на Secure Enclave. С их помощью создаётся уникальная пара ключей, причём закрытый ключ не покидает устройство. Когда сайту нужно выдать новую короткоживущую cookie, Chrome должен доказать, что у него есть нужный закрытый ключ. Если ключ не на том устройстве, схема просто не срабатывает.

При этом Google подчёркивает, что технология задумана с упором на конфиденциальность. По данным компании, DBSC не должна превращаться в новый механизм слежки: сайт получает только тот минимум данных, который нужен для подтверждения владения ключом, без передачи постоянных идентификаторов устройства или дополнительных данных аттестации.

Есть и важная оговорка: если устройство не поддерживает безопасное хранение ключей, Chrome не ломает аутентификацию и просто откатывается к обычной схеме работы. То есть пользователи не должны столкнуться с внезапными сбоями входа только потому, что их железо не подходит под новую модель защиты.

Пока публичный запуск ограничен Windows-пользователями Chrome 146, но Google уже подтвердила, что поддержку macOS добавят в одном из следующих релизов. Компания также заявила, что после начала внедрения DBSC уже заметила заметное снижение случаев кражи сессий.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!