В сша нашли беспроигрышный способ взлома приложений на ios, android и windows
Команда американских исследователей распознала уязвимость в операционных совокупностях Android, Windows и iOS, через которую возможно с возможностью в 92% взломать почту Gmail и другие популярные сервисы.
Авторы изучения – доцент Калифорнийского университета Чжиюнь Циань, доцент Университета Мичигана Чжоуцин Морли Мао и ее сотрудник аспирант Ци Альфред Чэнь. Ученые представят изучение, озаглавленное «Посмотреть в приложение, но не видеть: новые атаки и пользовательский интерфейс на Android», сейчас на 23-м Симпозиуме USENIX по безопасности, проходящем в городе Сан-Диего. На данной конференции разработчики ПО каждый год планируют для обмена опытом по кибербезопасности, в первую очередь безопасности операционных совокупностей.
Ученые начали работату над этим способом, поскольку посчитали, что очень много создаваемых на данный момент приложений являются причиной риска для пользователей. В то время, когда пользователь скачивает пара различных приложений, они начинают трудиться в общей инфраструктуре, другими словами в ОС смартфона.
Лжедмитрий взорвал интернет
В четверг твиттер премьера России Медведева был взломан: в течение 44 мин. хакеры оставили в нем пара злободневных твитов…
10
«Неизменно предполагалось, что эти приложения не смогут легко взаимодействовать между собой. Мы демонстрируем, что это предположение фальшивое и одно приложение может значительно повлиять на другие и навредить пользователю», — заявил Циань.
Сущность способа содержится в том, что пользователь устанавливает на собственный смартфон безобидную на первый взгляд программу, к примеру «обои» для экрана телефона. По окончании того как приложение (в действительности, зловредное) было установлено, исследователи смогли получить доступ к неспециализированной памяти смартфона, где хранится статистическая информация о процессах. Неспециализированная память – функция, разрешающая нескольким процессам в ОС обмениваться данными, и для доступа к ней не нужно каких-либо особых прав.
Ученые отслеживают трансформации в общей памяти и сопоставляют их с этими событиями, как вход в Gmail либо съемка фотографии. Дополнив данные об трансформациях данными, взятыми еще от нескольких источников, авторы изучения показали, что вероятно достаточно определить, какая информация из неспециализированной памяти относится к нужной программе.
Действительно, потенциальные взломщики столкнутся с двумя проблемами: во-первых, атаке нужно состояться как раз в тот момент, в то время, когда пользователь входит в приложение либо делает фотографию. Во-вторых, она обязана случиться скрытно, незаметно для пользователя. Исследователи решили эти неприятности, шепетильно рассчитывая время атаки.
«Android разрешает захватывать приложения, но атаку нужно проводить в необходимое время, дабы не увидел пользователь. Мы это можем, и это делает отечественный способ неповторимым», — отмечает Циань.
Хакеры из России похитили Америку
До тех пор пока Россия готовит асимметричный ответ на введенные против страны санкции, отечественные хакеры пугают Запад. Так, в…
Исследователи уверенны, что способ будет трудиться и на вторых операционных совокупностях, не считая Android, а также на традиционно считающейся защищенной iOS, по причине того, что у этих платформ совпадают нужные для взлома функции. Наряду с этим они пока не тестировали собственную программу на вторых операционных совокупностях.
Большая часть зловредных программ при установке на Android требуют громадного количества подтверждений, к примеру разрешение на доступ к SMS-истории и сообщениям звонков, что обычно приводит к у пользователя и останавливает его от установки программы, говорит директор по формированию ИБ-компании Wallarm Cтепан Ильин.
Показанный исследователям метод перехвата данных из запущенных на смартфоне приложений, к примеру пароля и логина при вводе его в клиенте для интернет-банкинга, лишен этого недочёта, поскольку не требует никаких дополнительных разрешений, применяя для перехвата изюминки ОС, в частности неспециализированную память приложений, отмечает специалист. Именно поэтому зловредный функционал значительно несложнее замаскировать под легитимное приложение, к примеру игру, и под каким-то предлогом подсунуть пользователю.
Исследователи опубликовали научную работу, так что потребуется некое время, перед тем как преступники реализуют идею и начнут ее деятельно применять, говорит специалист. «Но, в то время, когда это случится, возможность того, что приложения с таким функционалом попадут в Гугл Play, достаточно громадна. Магазин приложений достаточно либерален с позиций верификации приложений, автоматические испытания на предмет вредоносного функционала далеко не всегда действенны», — даёт предупреждение он.
Как взламывают почту
В том, как обезопасить собственную email, постарался разобраться отдел разработок «Газеты.Ru», озаботившись тем, что, не обращая внимания на все…
Дабы защититься от аналогичных взломов, Циань рекомендует пользователям не устанавливать вызывающие большие сомнения приложения, а разработчикам операционных совокупностей – осмотрительнее балансировать между функциональностью и безопасностью.
Пользователи подвергаются опасности лишь , если установят на собственный устройство вредоносное ПО, подчеркивает Степан Ильин. Исходя из этого для защиты, как в большинстве случаев, действуют элементарные правила сетевой гигиены: не устанавливать на устройство приложения из издателей и ненадёжных источников — особенно писем и SMS-сообщений, обновлять ОС и приложения до актуальных предположений, в которых исправлены уязвимости, и, наконец, установить антивирус, хотя бы бесплатный, напоминает специалист по кибербезопасности.
Взлом таких базисных сервисов, как почта Gmail, может иметь важные последствия: как раз так, согласно точки зрения специалистов, хакерам удалось несколько дней назад получить доступ к информации на смартфонах премьера России Медведева и к его аккаунтам в соцсетях.
