Баг в Android позволяет получить доступ к сетевым данным устройства

Олег Иванов 30 Августа 2018 - 16:56

Домашние пользователи

Случайное разглашение данных

Патчи

...

Баг в Android позволяет получить доступ к сетевым данным устройства

Ошибка в мобильной операционной системе Android раскрывает конфиденциальные данные пользователя и его устройства. Таким образом, установленные на смартфоне приложения могут получить доступ к этой информации без ведома пользователя.

С помощью этого вектора атакующий теоретически может скомпрометировать такие данные, как имя сети Wi-Fi, локальные IP-адреса, данные DNS-сервера и MAC-адрес устройства.

Казалось бы, ничего серьезного, однако эти данные можно использовать для отслеживания онлайн-активности пользователя, а также для определения его местоположения в режиме реального времени.

Утечка происходит из-за внутренней функции Android, известной под названием «intents» («намерения»). Эта функция позволяет приложению или самой системе отправлять внутреннее общесистемное сообщение, которое смогут прочитать все приложения и функции, запущенные на устройстве Android.

О проблеме сообщили исследователи компании Nightwatch Cybersecurity, им удалось обнаружить, что Android передает информацию о соединении Wi-Fi и сетевом интерфейсе двух разных «намерений»: WifiManager — NETWORK_STATE_CHANGED_ACTION и WifiP2pManager — WIFI_P2P_THIS_DEVICE_CHANGED_ACTION.

Установленные в системе приложения, со своей стороны, могут перехватывать посылаемую этими «намерениями» информацию, что, соответственно, приведет к компрометации в том случае, если у них нет разрешений на работу с этими компонентами ОС.

Следовательно, данная брешь сводит на нет эффективность системы разрешений, которой известна эта мобильная операционная система. Фактически она позволяет получить доступ к конфиденциальной информации, не спрашивая при этом разрешение пользователя.

Такие утечки будут полезны, например, злоумышленникам, специализирующимся на таргетированной рекламе. Они могут присвоить атакуемому пользователю уникальный идентификатор, с помощью которого можно отслеживать действия пользователя в Сети.

Эксперты Nightwatch полагают, что этой уязвимости подвержены все версии Android, включая форки вроде FireOS от Amazon. Исследователи сообщили о проблеме Google в марте этого года, ей был присвоен идентификатор CVE-2018-9489.

Оказалось, что интернет-гигант устранил данный недостаток только в версии Android Pie (9.0), совсем обделив вниманием прошлые версии операционной системы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Ноября 2025 - 15:37

Бэкдоры Фишинг Целевые атаки Таргетированные атаки Корпорации Государство ГК «Солар»

Кибергруппа Erudite Mogwai взломали подрядчика и атаковали госведомство

Специалисты центра Solar 4RAYS расследовали целевую атаку, связанную с деятельностью восточноазиатской кибергруппировки Erudite Mogwai. Злоумышленники рассылали сотрудникам одного из городских департаментов фишинговые письма, маскируясь под подрядчика ведомства.

В письмах содержалось требование проверить корпоративные ресурсы «на наличие новых киберугроз» и ссылка на архив с вредоносным файлом.

Атака произошла в мае 2025 года. Письмо было отправлено с почтового домена, ранее взломанного подрядчика.

Внутри архива находились три файла — документ с «анкетой сотрудника», PDF-файл с «планом по информационной безопасности» и lnk-файл, замаскированный под PDF-документ. Именно этот файл служил загрузчиком вредоносной программы.

По данным специалистов, программа проверяла, не запускается ли она в виртуальной среде: если определяла, что её анализируют, работа прекращалась. Такая защита помогала злоумышленникам скрывать следы атаки и усложняла исследование вредоноса.

Эксперты отметили, что подобные рассылки уже фиксировались в 2024 году. Тогда вредонос загружался с скомпрометированного легитимного сайта образовательной организации, что повышало доверие получателей. Исследователи выяснили, что цель атакующих — установить бэкдор для удалённого управления заражённым компьютером. Вредонос активировался не сразу, а через несколько часов после загрузки, что затрудняло его обнаружение.

Сравнение двух кампаний показало, что Erudite Mogwai постепенно совершенствуют свои фишинговые письма и методы скрытности. Эксперты предупреждают, что подобные атаки могут повториться, поскольку эта техника остаётся эффективным способом получения первоначального доступа к системам.

По совокупности признаков — характеру импланта, каналам связи и кодовым названиям вредоносов Pinocchio и Hermes — исследователи связали атаку именно с Erudite Mogwai. Ранее эта группировка использовала в названиях своих инструментов фразы из произведений по вселенным Гарри Поттера и Лавкрафта.

Специалисты советуют организациям внимательнее относиться к письмам от подрядчиков, особенно если в них содержатся ссылки на загрузку архивов. Если партнёр ранее не просил передавать данные подобным способом, стоит проверить письмо через службу безопасности, прежде чем открывать вложения.

Баг в Android позволяет получить доступ к сетевым данным устройства

Читайте также