Новый эксплойт поражает 73% устройств на Android

Новый эксплойт поражает 73% устройств на Android

Google вновь критикуют за отсутствие эффективного механизма обновления Android. Специалисты написали эксплойт, который позволяет хакеру взломать 73% устройств на этой платформе, используя уязвимость годичной давности.

Специалисты по информационной безопасности из компании Rapid7 написали эксплойт, позволяющий взломать 73% устройств под управлением операционной системы Android.

Примечательно, что уязвимость была обнаружена еще в декабре 2012 г. Она находится во встроенном в Android веб-браузере, в компоненте WebView, и позволяет злоумышленнику исполнить на устройстве произвольный код.

Для заражения устройства необходимо, чтобы его владелец посетил вредоносный сайт. Заставить его сделать это можно различными способами. Исследователи в качестве примера привели вредоносную ссылку, закодированную в QR-коде. Пользователь может считать такой код в любом рекламном объявлении, ничего не подозревая, сообщает CNews.ru.

Примечательно, что уязвимость, которой воспользовались специалисты Rapid7, касается устройств любых типов, не только смартфонов и планшетов. Пользователь Джошуа Дрейк (Joshua Drake) сообщил в твиттере, что ему удалось запустить эксплойт на очках Google Glass.

Процент устройств аналитики вычислили довольно просто. Дело в том, что уязвимость содержится во всех версиях Android ниже 4.2. Цифра была получена из официальной статистики Google.

Несмотря на то, что в Android 4.2 уязвимость была устранена, риску по-прежнему подвержено большинство пользователей. И именно на это эксперты хотели обратить свое внимание. По их мнению, проблема кроется в отсутствии у Google единого центрального механизма распространения обновлений, как, например, в Microsoft Windows: многие производители не заботятся об обновлении устройств, выпущенных несколько лет назад с предыдущими версиями платформы.

В 2011 г. Google предприняла попытку создания такого механизма – объявив о формировании альянса Android Upgrade Alliance, участники которого – операторы связи – должны были четко соблюдать регламент выпуска новых прошивок в течение первых 1,5 лет после выхода устройства в продажу. Однако эта инициатива не принесла плоды.

Еще один способ устранения уязвимостей с учетом отсутствия единого центра обновления – периодический выпуск обновленных версий приложений YouTube, Gmail, Maps, Search и т. д. Однако этот метод не позволяет устранять «дыры», содержащиеся в коде самой платформы. Проблема еще заключается в том, что Google позволяет производителям модифицировать Android, то есть не контролирует платформу, как это делает Apple. В сентябре прошлого года Apple, например, за неделю устранила уязвимость, позволяющую обходить парольную защиту.

Между тем, в июле прошлого года сообщалось о еще более масштабной уязвимости – затрагивающей 99% устройств на Android. Она была обнаружена специалистами компании Bluebox и содержалась во всех версиях Android, начиная с 1.6, выпущенной 4 года назад.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники активно привлекают детей к соучастию в преступлениях

В России растет число случаев, когда мошенники привлекают детей и подростков к участию в преступных схемах. Чаще всего их используют в роли курьеров или дропов, облегчая таким образом процесс обмана граждан.

Об усилении вербовки несовершеннолетних рассказали «Известиям» представители платформы «Мошеловка».

Как отмечает эксперт проекта «За права заемщиков» Александра Пожарская, преступники преследуют две главные цели: сокращение расходов и упрощенное вовлечение неопытных подростков, которыми легко манипулировать.

«Дети зачастую инфантильны: они привыкли, что в сложных ситуациях им помогут родители, опекуны или представители власти. Из-за этого они не задумываясь публикуют о себе личную информацию, делятся данными с незнакомцами и могут согласиться на сомнительные предложения», — поясняет Пожарская.

Вербовка происходит через мессенджеры, соцсети и игровые чаты. По словам психолога Елены Масоловой, злоумышленники сначала выстраивают доверительные отношения, а затем обращаются с просьбами о «помощи». Иногда подростков провоцируют на вызов («слабо?») или предлагают стать частью закрытого сообщества.

Адвокат Шон Бетрозов называет вовлечение несовершеннолетних в криминальную деятельность одной из самых тревожных тенденций. Часто преступники маскируют свои схемы под безобидные задания, и подростки не осознают, что совершают незаконные действия.

«Им могут предложить снять деньги с карты в банкомате и передать их третьему лицу за небольшое вознаграждение. На первый взгляд — подработка, но на деле ребенок становится соучастником финансового мошенничества, например обналичивания средств, добытых телефонными аферистами», — предупреждает Бетрозов.

При этом к ответственности могут привлечь и родителей, если они знали о противоправных действиях или их банковские карты использовались в преступных схемах. В таких случаях проверке подвергается вся семья.

Еще одна распространенная схема — использование подростков в качестве курьеров. Например, злоумышленники направляют их за деньгами к пожилым людям, которым звонят под видом родственников в беде. Потерпевшие передают наличные курьеру прямо на лестничной площадке, после чего он переводит средства на счета мошенников, получая процент от суммы.

Как сообщает УМВД по Тверской области, в одном из таких случаев студент участвовал как минимум в трех эпизодах схемы «Мама, я попал в беду».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru