Критический баг в Android эксплуатируют вымогатели

Александр Панасенко 11 Мая 2017 - 23:33

...

Критический баг в Android эксплуатируют вымогатели

Специалисты компании Check Point обнаружили проблему в одном из защитных механизмов Android, которую активно эксплуатируют вымогатели, банковские трояны и адварь. Начиная с Android 6.0.0 (Marshmallow) разработчики Google представили новую модель выдачи разрешений приложениям.

В частности некоторые права получили пометку «опасных» (dangerous), то есть когда приложение впервые запрашивает доступ к каким-то «опасным» ресурсам и функциям, система спрашивает у пользователя, нужно ли разрешать данные действия.

Но наряду с «опасными» правами есть и другая категория — SYSTEM_ALERT_WINDOW. В отличие от других разрешений, в данном случае пользователь должен войти в меню (Settings -> Apps -> Draw over other apps) и вручную предоставить приложению данные права. В дальнейшем SYSTEM_ALERT_WINDOW фактически позволяет приложению без спроса перекрывать окна любых других приложений, к примеру, именно так на экране всплывает Facebook Messenger, когда кто-то из контактов хочет пообщаться.

Как не трудно догадаться, SYSTEM_ALERT_WINDOW также может использоваться в совсем других целях, в частности позволяет мошенникам показывать пользователям навязчивую рекламу, перекрывать окна других приложений оверлеем (как часто делают банковские трояны), устраивать фишинговые атаки и так далее. Специалисты Check Point отмечают, что согласно их данным, 74% вымогателей, 57% адвари и 14% банковских троянов эксплуатируют недочеты в системе выдачи разрешений, пишет xakep.ru.

Проблема заключается в том, что полностью запретить такое поведение невозможно, ведь им пользуются и легитимные приложения. Поэтому разработчики Google выпустили патч в составе Android 6.0.1, который выдает run-time разрешения приложениям, загруженным из официального каталога Google Play, что впоследствии может использоваться для получения прав SYSTEM_ALERT_WINDOW. Фактически это означает, что если малварь была загружена из Google Play (что встречается совсем нередко), проблем с эксплуатацией SYSTEM_ALERT_WINDOW у нее не возникнет. По данным Check Point, около 45% приложений, использующих SYSTEM_ALERT_WINDOW, пользователи загружают именно из Google Play.

Специалисты уже уведомили о проблеме разработчиков Google, и те согласились, что так быть не должно, однако исправления проблемы стоит ожидать не ранее третьего квартала 2017 года, то есть не раньше релиза Android O. Ограничить злоупотребление SYSTEM_ALERT_WINDOW должна новая функция TYPE_APPLICATION_OVERLAY, которая появится в новой версии ОС. Она не позволит приложениям размещать окна поверх критических системных окон, так что пользователь в любой момент сможет войти в настройки и блокировать вредоносную активность.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 13 Января 2026 - 16:26

BI.ZONE EDR Соответствие законодательству РФ Корпорации Государство Защита конечных точек сети Системы обнаружения целевых атак на конечных точках сети (EDR)Соответствие требованиям регуляторов BI.ZONE

BI.ZONE EDR получил сертификат ФСТЭК России и готов к работе в ГИС и КИИ

Система BI.ZONE EDR официально получила сертификат ФСТЭК России. Это означает, что продукт теперь можно использовать в российских информационных системах, где требуется обязательная сертификация средств защиты информации — в том числе в госсекторе и на критически важных объектах.

Сертификат подтверждает, что BI.ZONE EDR соответствует требованиям 4-го уровня доверия и относится к средствам обнаружения вторжений уровня узла 4-го класса защиты.

На практике это открывает продукту дорогу в системы с защитой информации до 1-го класса защищённости — включая государственные информационные системы (ГИС), объекты критической информационной инфраструктуры (КИИ) и АСУ ТП. Кроме того, решение можно применять для защиты персональных данных.

BI.ZONE EDR предназначен для раннего выявления и расследования сложных целевых атак. Но на практике его возможности выходят далеко за рамки классического EDR.

По данным BI.ZONE TDR, в рамках которого используется BI.ZONE EDR, 2 из 3 корпоративных компьютеров содержат как минимум одну небезопасную настройку. При этом 20% хостов имеют некорректные конфигурации уровня high — то есть такие, которые позволяют злоумышленнику провести компрометацию буквально за один шаг.

На сегодняшний день у BI.ZONE EDR уже более 900 тысяч инсталляций, что делает его одним из самых распространённых EDR-решений на российском рынке.

Отдельный плюс — полноценная работа BI.ZONE EDR на Linux. Это позволяет использовать решение в инфраструктурах, которые уже перешли на отечественные дистрибутивы. Продукт имеет сертификаты совместимости с Astra Linux, РЕД ОС 8 и ОС «Альт».

Кроме того, BI.ZONE EDR поддерживает работу в контейнерных средах, что делает его актуальным для современных микросервисных и облачных архитектур.

Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров отмечает, что получение сертификата — важный этап в развитии продукта:

«Получение сертификата ФСТЭК подтверждает, что BI.ZONE EDR соответствует самым строгим требованиям по защите информации и готов к использованию в государственных и критически важных системах. Это шаг, который подтверждает технологическую зрелость нашего продукта и позволяет заказчикам использовать его в самых требовательных средах. Мы создаем технологии, которые позволяют не просто реагировать на инциденты, а предотвращать их ещё до возникновения угрозы».

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »