В смартфонах Samsung Galaxy найдена новая «дыра»

В смартфонах Samsung Galaxy найдена новая «дыра»

Смартфоны Samsung Galaxy содержат уязвимость, позволяющую злоумышленникам получать доступ к датчикам, GPS, камерам и микрофону, незаметно устанавливать вредоносные приложения, вмешиваться в работу других приложений и операционной системы смартфона, перехватывать сообщения и прослушивать звонки, получать доступ к фотографиям и видеозаписям.

Об этом на конференции Black Hat в Лондоне рассказал специалист по информационной безопасности из компании NowSecure Райан Велтон (Ryan Welton).

Уязвимость, в частности, содержится в приложении клавиатуры Swift, позволяющей набирать текст, не отрывая палец от экрана. По словам эксперта, это приложение предустановлено более чем на 600 млн смартфонов Samsung. Его нельзя ни отключить, ни удалить, пишет cnews.ru.

Суть проблемы заключается в том, что в приложении Swift присутствует достаточно слабый механизм проверки подлинности устанавливаемых клавиатур и обновлений, получаемых через интернет в ZIP-пакетах.

Компания NowSecure передала информацию об уязвимости Samsung в декабре 2014 г. Уязвимости был присвоен номер CVE-2015-2865. Также специалисты проинформировали компанию Google — разработчика платформы Android.

В начале 2015 г. Samsung предоставила своим партнерам-операторам патч для устранения проблемы. Но, как сообщает NowSecure, на сегодняшний день в американской версии Galaxy S6 проблема по-прежнему присутствует. По состоянию на 16 июня 2015 г. уязвимость также по-прежнему содержалась в Galaxy S5, Galaxy S4 и Galaxy S4 Mini, согласно NowSecure. Аналитики сомневаются, что распространение патча через операторов — быстрое и эффективное решение.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru