Плохо изученная функция Android позволяет снять цифровой отпечаток

Плохо изученная функция Android позволяет снять цифровой отпечаток

Плохо изученная функция Android позволяет снять цифровой отпечаток

Исследователи проанализировали одну из функций мобильной операционной системы Android, о которой долгое время мало что было известно. Тем не менее, как считают эксперты, эти возможности могут угрожать конфиденциальности пользователей.

В исследовании отмечается, что сегодня всё больше Android-приложений используют IAM (Installed Application Methods) — набор API системы Android, позволяющий разработчикам получить список установленных на устройстве приложений.

Изначально Google создал эти вызовы API, чтобы девелоперы могли выявить несовместимость приложений. Однако в отчёте (PDF) экспертов высказывается предположение, что IAM также можно использовать для снятия цифрового отпечатка или отслеживания пользователя.

В частности, опасность заключается в том, что рекламодатели могут вычислить интересы пользователя и его личные предпочтения. Более того, проанализировав список установленных приложений, можно определить пол, родной язык, религиозные предпочтения и прочую похожую информацию.

Ещё один неприятный нюанс — себя нельзя защитить от подобных техник снятия цифрового отпечатка, поскольку IAM в процессе работы не спрашивает разрешения пользователя.

Интересно также, что приложение может осуществлять вызовы IAM без ведома самого разработчика. Таким образом, если, например, программа содержит рекламную библиотеку, вызовы API IAM будут осуществляться от её лица, а создатель софта даже не будет в курсе этого.

Патч для Windows Defender может забить ваш диск до краёв

Microsoft выпустила патч для 0-day уязвимости RoguePlanet, она же CVE-2026-50656, в движке безопасности встроенного антивируса Defender. Но история, похоже, не закончилась: исследователь NightmareEclipse, который ранее раскрыл баг, утверждает, что новый патч может привести к забиванию диска огромными файлами.

RoguePlanet стала известна в июне, когда NightmareEclipse опубликовал детали уязвимости и эксплойт.

По его словам, баг позволял удалённому атакующему получить административный контроль над Windows 10 и Windows 11 даже при отключённой защите в реальном времени.

В среду Microsoft сообщила, что закрыла проблему обновлением Microsoft Malware Protection Engine — компонента, который использует Defender. Обновление должно установиться автоматически, без действий пользователя. Вместе с ним компания добавила дополнительные защитные меры.

И вот тут, по версии исследователя, началось веселье. NightmareEclipse заявил, что патчи могут вызывать поведение, при котором Defender записывает на диск огромные объёмы данных и в итоге съедает всё свободное место. Проблема якобы связана с mpengine.dll и функциями SpyNet, которые пытаются локально кешировать файл Zone.Identifier — служебные метаданные Windows о происхождении файла.

Обычно Defender ограничивает размер файлов, которые записывает при проверке и карантине. Но, как утверждает исследователь, для Zone.Identifier есть исключение: Defender может сохранять этот поток данных локально независимо от его размера.

По словам NightmareEclipse, атаку можно организовать через специально подготовленный SMB-сервер. Он должен отдавать вредоносный файл и огромный альтернативный поток данных Zone.Identifier, а затем удерживать соединение. В результате Defender может зависнуть на обработке и держать файлы, занимающие всё свободное место на диске.

Компьютер от этого не обязательно упадёт сразу, но Windows с полностью забитым диском начинает вести себя как уставший сервер: приложения и службы могут сбоить хаотично.

Microsoft на момент публикации не подтвердила описанное поведение. При этом конфликт между компанией и NightmareEclipse тянется уже несколько месяцев: исследователь обвинял Microsoft в отсутствии поощрения за найденные дыры, а корпорация критиковала его за раскрытие уязвимостей до исправлений.

RSS: Новости на портале Anti-Malware.ru