Новая технология доставки приложений из Android Market создает угрозы безопасности

Новая технология доставки приложений из Android Market создает угрозы безопасности

Антивирусные эксперты из компании Sophos выступили с предупреждением относительно потенциальной опасности нового функционала доставки приложений, введенного с появлением Интернет-версии магазина Android Market. По их мнению, данный механизм открывает путь к скрытому внедрению шпионского и вредоносного программного обеспечения в мобильные устройства пользователей.

Напомним, что онлайн-представительство Android Market появилось на прошлой неделе синхронно с представлением новой версии ОС от Google - 3.0 "Honeycomb". Поисковый гигант ранее заявлял, что его не радует относительно низкий объем продаж ПО в магазине, так что открытие сайта можно рассматривать как попытку исправить сложившееся положение.

Предупреждение Sophos было опубликовано считанные дни спустя; в нем говорится, что схема продаж программ через веб-узел Android Market характеризуется наличием изъяна критической опасности - в ней отсутствует шаг подтверждения установки того или иного приложения. Если, допустим, на сайте Apple iTunes Preview пользователи могут лишь просмотреть имеющиеся в наличии продукты (купить их можно только через программное обеспечение iTunes), то в Интернет-версии магазина Google разрешается не только ознакомиться с той или иной разработкой - ее можно приобрести там же, на ресурсе, после чего оплаченное приложение будет удаленно установлено прямо на мобильное устройство клиента без каких-либо дополнительных запросов. Наличие подобного функционала подается как уникальная возможность, которой нет ни у кого из конкурентов.

Однако именно в этом, по мнению экспертов Sophos, и кроется потенциальная опасность. Купленные приложения отправляются на телефон или планшетный компьютер клиента и устанавливаются автоматически; описанный процесс не предусматривает никаких предупредительно-разрешительных механизмов, которые бы ставили пользователя в известность об инсталляции и позволяли при желании ее контролировать либо вовсе от нее отказаться. Соответственно, если злоумышленник получит доступ к учетной записи владельца, то он сможет удаленно засылать и устанавливать на его мобильное устройство любые приложения по своему усмотрению, причем не только без санкции, но и попросту без ведома жертвы. "Благодаря" новому механизму узнать об установке такого программного продукта невозможно; его можно только случайно обнаружить впоследствии.

Ситуация осложняется еще и тем, что приложения для Android могут получать доступ к самым разнообразным функциям телефона или планшета, а решение о релевантности соответствующих запросов возлагается на пользователя при выборе продукта и просмотре его описания. К примеру, если программа желает читать все данные, хранящиеся на устройстве, отправлять SMS на платные номера и отслеживать географическое местоположение пользователя, то роль Google сводится к тому, чтобы опубликовать соответствующее уведомление на странице приложения в магазине; определять, действительно ли продукт нуждается в столь широких привилегиях, и сообразно этому решать, стоит ли покупать / загружать его, должен сам пользователь. Очевидно, что если "выбор" будет совершать злоумышленник, то жертва рискует получить на свое мобильное устройство приложение с самыми широкими привилегиями.

Отсюда следует, что владельцам Android-устройств необходимо самым тщательным образом следить за сохранностью своих аутентификационных сведений для универсальной учетной записи Google (именно она используется для работы с Интернет-версией магазина). В противном случае они могут оказаться жертвами вредоносного программного обеспечения - если, конечно, поисковый гигант не пересмотрит свой новый механизм доставки приложений.

Apple Insider

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Россиян массово обманывают с помощью виртуальных карт

Банк России предупреждает о росте мошенничества, связанного с использованием виртуальных или токенизированных карт для оплаты через смартфоны. Злоумышленники убеждают жертв привязать электронные кошельки к таким картам, перевести на них средства, а затем похищают деньги.

Как сообщили представители Банка России изданию «Известия», эта мошенническая схема получила широкое распространение за последние несколько месяцев.

Преступники используют карты, которые можно добавить через банковские приложения или сервисы оплаты, такие как Sber Pay или Mir Pay.

Существование схемы подтвердили также крупнейшие банки. Сергей Лапихин, начальник управления банковской безопасности ОТП Банка, рассказал, что мошенники часто звонят, представляясь сотрудниками правоохранительных органов или регуляторов.

В рамках стандартного сценария они убеждают жертву перевести средства, включая кредитные, на «безопасные счета». При этом злоумышленники требуют установить приложение Mir Pay и привязать к нему карту.

«Жертву направляют к банкомату любого банка, поддерживающего бесконтактное обслуживание (таких большинство в России). Затем ее просят приложить телефон с включенной функцией NFC (Near Field Communication), ввести ПИН-код, продиктованный мошенником, и пополнить привязанную в Mir Pay карту наличными. В финале злоумышленники заставляют удалить карту из приложения, хотя сами сохраняют к ней доступ», — описал этапы мошенничества Сергей Лапихин.

Чтобы противодействовать этой схеме, Банк России предлагает ужесточить требования к внесению наличных на токенизированные карты при суммах, превышающих 50 тысяч рублей.

В таком случае деньги будут зачисляться на счет только через 48 часов. Подобные меры уже предусмотрены в законопроекте о «периоде охлаждения» для кредитов, который Госдума может рассмотреть 15 января.

Кроме того, Национальная система платежных карт (НСПК) заявила «Известиям», что в ближайшее время будет запущен сервис, позволяющий банкам ограничивать операции по внесению наличных на токенизированные карты, если они были выпущены менее двух дней назад.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru