Организации просят Google разобраться с проблемой bloatware на Android

Организации просят Google разобраться с проблемой bloatware на Android

Более пятидесяти организаций направили Google открытое письмо, в котором просят корпорацию принять меры в отношении непорядочных производителей Android-смартфонов, предустанавливающих на устройства приложения класса bloatware.

Bloatware представляет собой тип программ, потребляющих чрезмерное количество ресурсов системы за счёт наличия дополнительных малополезных функций.

Открытое письмо в отношении таких приложений, отправленное на имя Сундара Пичаи (гендиректор Google), подписали 53 организации. Представители этих компаний ссылаются на негативное воздействие bloatware на конфиденциальность пользователей.

Большинство программ такого класса невозможно удалить, при этом они собирают данные владельцев смартфонов и передают их производителям без какого-либо уведомления.

«Эти предустановленные приложения могут располагать высокими правами "из коробки", что позволяет им действовать за пределами модели безопасности системы Android», — говорится в письме.

На деле это значит, что навязанный предустановленный софт вполне может иметь доступ к микрофону, камере и геолокации пользователя. К сожалению, в этом случае защитные меры Android не помогут предупредить владельца смартфона.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru