Специалисты нашли восемь уязвимостей в VoIP-компонентах Android

Специалисты нашли восемь уязвимостей в VoIP-компонентах Android

Команда учёных нашла восемь уязвимостей в VoIP-компонентах операционной системы Android. Атакующий может использовать эти дыры для совершения несанкционированных звонков и даже для выполнения вредоносной кода на устройстве пользователя.

Это первое исследование такого рода. Ранее специалисты изучали защитные механизмы оборудования Voice-over-IP (VoIP) и мобильных приложений для VoIP, но ни разу до этого не смотрели в сторону VoIP-компонентов внутри самой системы Android.

Теперь же группа из трёх исследователей исправили это. За последние несколько лет учёные выработали три метода анализа уязвимости вышеупомянутых компонентов.

В основном в своих тестах эксперты полагались на технику, известную под названием фаззинг (fuzzing). Фаззинг подразумевает «бомбежку» программных компонентов случайными или вредоносными данными, после чего фиксируется и оценивается реакция этих компонентов.

По словам учёных, они подвергли фаззингу различные VoIP-протоколы: SIP [Session Initiation Protocol], SDP [Session Description Protocol] и RTP [Real-time Transport Protocol]. После этого специалисты просмотрели логи и провели аудит кода.

Тестированию подверглись только актуальные версии мобильной операционной системы: с Android 7.0 (Nougat) по 9.0 (Pie). Всего было выявлено девять уязвимостей, восемь из которых затрагивали саму ОС Android, и ещё одна — приложение VK (ВКонтакте).

Полное исследование специалистов «Understanding Android VoIP Security: A System-level Vulnerability Assessment» можно изучить и загрузить по этой ссылке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Код ИБ в Тюмени: как построить карьеру в информационной безопасности

21 ноября в деловом доме “Петр Столыпин” пройдет ежегодная конференция  “Код информационной безопасности”.

Новой особенностью проекта “Код ИБ” в этом году стало наличие ключевой темы у каждой конференции. Так тюменский Код ИБ будет посвящен вопросам построения карьеры в сфере информационной безопасности. Квалифицированных специалистов по ИБ катастрофически не хватает. Тем не менее, бурное развитие технологий не оставляет возможности спокойно сидеть на месте. Заменят ли роботы безопасников и куда развиваться дальше, чтобы быть востребованными на рынке труда? – ответы на эти и другие вопросы попробуют найти эксперты на грядущей конференции в Тюмени.

Своими наработками в сфере обеспечения защиты информации поделятся вендоры: Лаборатория Касперского, Ростелеком-Солар, Доктор Веб, ЦФТ, RuSIEM, RTCloud и другие.

Об опыты работе с бизнес-моделью SecaaS (Security as a Service) расскажет Роберт Низамеев (ICL Технологии). В заключительной части профессионалы ИБ за тематическими круглыми столами в рамках секции “Горячая десятка” обсудят с экспертами те темы, которые им наиболее интересны.

Следует отметить, что бесплатные профессиональные конференции “Код ИБ” проходят в этом году в 23 городах на территории 5 государств.

Для регистрации на событие необходимо пройти по ссылке https://tumen.codeib.ru/

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru