Эксперты нашли уязвимость в каждом четвертом приложении на Android
Она была обнаружена в библиотеке Android Jetpack, которая содержит инструменты для создания программ от Google, рассказали «Известиям» эксперты. Насколько эта уязвимость опасна?
В каждом четвертом приложении на Android нашли уязвимость, утверждает газета «Известия». Речь идет о наборе инструментов от Google, с помощью которого разработчики создают систему навигации внутри приложений.
Такой набор инструментов называется «Библиотека». Обнаруженная уязвимость позволяет хакерам передавать во взломанное приложение любые данные. При этом абсолютно не важно, что разработчик указывал в коде и какие устанавливал ограничения, говорит эксперт «Известий».
Однако наличие любой уязвимости еще не означает, что ее могут использовать мошенники, говорит эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин.
Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Может быть такое, что у вас версия с уязвимостью любой библиотеки, любого приложения, но чтобы ее поэксплуатировать, должно быть выполнено очень много условий. Предположим, злоумышленник должен быть уже на устройстве, то есть дистанционно он исполнить код не может, он должен как-то на устройство попасть, и тогда он может использовать эту уязвимость. Поэтому, в целом, пугаться не стоит. Новость, правда, классная, но я крайне сомневаюсь в правдоподобности по двум причинам. Первая — у Google очень мощная собственная исследовательская лаборатория. Я уверен, по крайней мере, что она выявила бы, если бы была бы какая-нибудь дистанционно запускаемая уязвимость, если бы они даже это не нашли бы, то сейчас, конечно, народ сильно бы заволновался. Ну и к тому же, если бы так просто было бы получить доступ к данным извне, использовав данную уязвимость, ее бы давно уже использовали. А второе, даже если уязвимость есть, возможно, ее можно поэксплуатировать только в лабораторных условиях, как, предположим, есть уязвимости для Bluetooth, которые в простой, в дикой природе не встречаются из-за того, что их сложно воспроизвести. То есть они только существуют в лабораториях, то есть как бы да, есть, но иди попробуй сделай. Звучит очень страшно, но мне мой опыт подсказывает, что на самом деле все не так страшно. И такой ситуации, что можно получить все данные так легко, нет. Из того, что я знаю, из того, что я вижу, из того, что мне известно, и также на моем опыте, крайне маловероятно, что это реально боевая уязвимость, а не какая-то синтетическая выявленная, где-то на основании чего-то».
Безопасность данных из-за этой конкретной уязвимости не пострадает, уверен IT-специалист Илья Чухляев.
Илья Чухляев IT-специалист «Последствия от этой уязвимости только в том, что злоумышленники могут открывать различные экраны внутри приложения и выводить любые данные, то есть это могут быть спам-рекламы, спам-рассылки и так далее, может быть, это будут использоваться для какого-нибудь шантажа, но безопасность данных от этого не страдает. Просто всплывает окно, которое может содержать различную информацию, фотографии, какой-то текст, рекламу, видео и так далее. Это может быть по-разному реализовано и это зависит от опыта хакера, скажем так, как он пропишет появление этого окна. Этим уязвимостям подвержены многие пользователи, огромное количество смартфонов может пострадать. Как защитить себя от этого? Не поддаваться на провокации левых ссылок, не вводить свои данные на неизвестных сайтах, на сторонних сайтах. Эта уязвимость не какая-то явная, эта уязвимость, скорее всего, очень хорошо замаскированная, зашифрованная. Она появилась в связи с тем, что невозможно написать идеальный код».
Эксперты напоминают о правилах цифровой гигиены. Если ее не соблюдать, то злоумышленники взломают что угодно, без каких-либо уязвимостей. Также рекомендуется установить антивирус, он существенно повысит уровень безопасности устройства.