Google формирует команду для поиска дыр в сторонних Android-приложениях

Google формирует команду для поиска дыр в сторонних Android-приложениях

Google ищет специалистов, которые составят новую команду, отвечающую за безопасность мобильной операционной системы Android. В частности, новый отдел будет искать уязвимости в приложениях, работающих с конфиденциальными данными пользователей и размещённых в официальном магазине Google Play Store.

По словам самого интернет-гиганта, откликнувшиеся на вакансии эксперты будут не только выявлять бреши в сторонних приложениях, но и направлять их разработчикам руководства по устранению проблем безопасности.

Среди попадающего под наблюдение софта будут программы, отслеживающие распространение коронавирусной инфекции COVID-19, а также связанные с выборами президента США приложения.

Таким образом, новая команда дополнит уже имеющуюся программу по поиску уязвимостей — Google Play Security Reward Program (GPSRP). Напомним, что в рамках GPSRP Google принимает от сторонних исследователей отчёты о брешах в приложениях, размещённых на страницах официального магазина.

Однако действие GPSRP распространяется лишь на те программы, которые скачали более 100 миллионов пользователей. Следовательно, обрабатывающий конфиденциальную информацию софт не всегда попадает под GPSRP.

Ряд специалистов в области безопасности мобильных устройств уже успели оценить шаг Google. Например, Лукаш Штефанко назвал создание новой команды «хорошей инициативой».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В TikTok обнаружены баги, позволяющие угнать аккаунт за один клик

Операторы видеосервиса TikTok устранили две уязвимости, которые в комбинации позволяют без особых трудозатрат захватить контроль над чужим аккаунтом. Одна из них присутствовала на сайте, другая объявилась в клиентском приложении. Соответствующие патчи вышли 18 сентября, информация о багах была опубликована в конце прошлой недели.

Обе проблемы обнаружил живущий в Берлине исследователь, использующий псевдоним milly. Отчет о находках молодой человек подал в рамках программы поиска багов, запущенной на платформе HackerOne, и в итоге был удостоен награды в размере 3860 долларов США.

Согласно записи milly на HackerOne, уязвимость на сайте TikTok возникла из-за неадекватной санации одного из параметров URL и классифицируется как «отраженный межсайтовый скриптинг». Эксплуатация в данном случае позволяет выполнить вредоносный код в браузере пользователя посредством проведения XSS-атаки. Степень опасности бреши оценена как высокая (8,2 балла по шкале CVSS); идентификатор CVE ей пока не присвоен.

Уязвимость в клиенте TikTok относится к классу «подделка межсайтовых запросов» (CSRF). Ее использование позволяет задать новый пароль для учетной записи, допускающей вход через сторонние приложения (по технологии единого входа — SSO, Single Sign-On), и совершать действия от имени законного владельца аккаунта.

Для демонстрации уязвимостей исследователь создал простейший JavaScript-эксплойт для CSRF и внедрил его в URL TikTok в качестве значения уязвимого параметра. Использование этой связки помогло milly эффективно перехватить контроль над аккаунтом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru