Найдена уязвимость, позволяющая организовать рассылку от имени приложения
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Найдена уязвимость, позволяющая организовать рассылку от имени приложения

Олеся Афанасьева 28 Февраля 2023 - 12:31
...
Найдена уязвимость, позволяющая организовать рассылку от имени приложения

Несколько российских приложений из Google Play, RuStore, Huawei AppGallery содержат уязвимость, которая позволяет взломщику отправить всем пользователям push-уведомления любого содержания. Речь о платформах для бизнеса и поиска работы, мессенджерах, онлайн-кинотеатрах и приложениях для знакомств.

О новой угрозе Anti-Malware.ru рассказали специалисты Стингрей Технолоджиз (входит в ГК Swordfish Security).

Обнаруженная проблема безопасности потенциально позволяет злоумышленникам отправлять push-уведомления на все устройства (всем пользователям), у которых установлено уязвимое приложение.

Злоумышленник может передать произвольный заголовок, текст, картинку, gif-файл и другие медиа-элементы, допустимые в данном формате.

При этом сообщение придет действительно от имени приложения, что вызовет доверие пользователя.

Атаку могут взять на вооружение в сценариях социальной инженерии. 

Например, злоумышленник отправляет push-уведомление якобы от банка о списании всех средств с карты и просьбе немедленно обратиться в службу безопасности по указанному в рассылке номеру телефона. А далее к работе с потенциальной жертвой подключаются мошенники с предложением минимизировать риски и перевести средства на “безопасный” счет.

Уязвимость можно использовать и для подрыва репутации конкретной организации. К примеру, сообщение может приглашать в магазин конкурента с более комфортными условиями.

Более того, доступ к push-уведомления от имени владельца приложения позволяет рассылать пользователям изображения непристойного характера. Это грозит крупными штрафами и возможным закрытием приложения.

Количество push-сообщений от приложения может быть неограниченным (10, 20, 100 за несколько минут), добавляют эксперты. При этом доказать, что их отправили злоумышленники, а не владелец приложения, крайне сложно.

Какие конкретно российские приложения оказались под угрозой, не уточняется. Известно, что все они находятся в крупных публичных магазинах приложений и маркетплейсов, за исключением App Store.

В Стингрей Технолоджиз сообщили, что уже связались с владельцами скомпрометированных приложений и предупредили о проблеме.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Суд Иркутска рассмотрит дело о взломе 101 аккаунта Telegram для продажи
Татьяна Никитина 19 Ноября 2025 - 12:47
МошенничествоОнлайн-мошенничествоСоответствие законодательству РФ Домашние пользователиГосударство
Суд Иркутска рассмотрит дело о взломе 101 аккаунта Telegram для продажи

В Иркутске будут судить 22-летнего местного жителя, обвиняемого в систематической краже учетных данных Telegram у россиян с целью продажи. Подозреваемый задержан, с него пока взята подписка о невыезде.

Следствие установило, что в период с февраля 2023 года по октябрь 2024-го молодой человек через фишинг получил доступ к 101 телеграм-аккаунту жителей Алтайского края.

Для сбора учеток был создан сайт, имитирующий музыкальный сервис крупнейшей соцсети рунета. Ссылка на фейк с обещанием бесплатной годовой подписки публиковалась в профильном интернет-сообществе.

Претендентам предлагали авторизоваться через Telegram. Введенные в фишинговую форму данные выставлялись на продажу по цене от 250 до 400 рублей и впоследствии использовались для реализации мошеннических схем.

Одна из потерпевших, 32-летняя жительница Барнаула, невольно подставила свою подругу. Откликнувшись на просьбу одолжить денег, разосланную мошенниками от имени жертвы взлома, та перевела им 8 тыс. рублей.

Уголовное дело было возбуждено по признакам преступления, предусмотренного ч. 2 ст. 272 УК РФ (неправомерный доступ к компьютерной информации из корыстной заинтересованности, до четырех лет лишения свободы). При обыске у задержанного был изъят ноутбук с уликами; отрицать свою вину он не стал.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Холдинг Fplus все ближе к банкротству
Новость
Холдинг Fplus все ближе к банкротству
Вектор атаки TEE.Fail ломает доверенные среды CPU от Intel, AMD, NVIDIA
Новость
Вектор атаки TEE.Fail ломает доверенные среды CPU от Intel,...
Kaspersky Fraud Prevention научился точнее выявлять мошеннические схемы
Новость
Kaspersky Fraud Prevention научился точнее выявлять мошеннич...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.