В связи с большой популярностью (шутка ли – более миллиарда устройств) операционной системы Android для мобильных платформ, она остаётся лакомым кусочком для различных хакеров.
Так, например, 12 ноября этого года на конференции PacSec был продемонстрирован один очень опасный баг в сабжевом браузере. Атака нацелена на движок браузера JavaScript v8, причём уязвимость эксплуатируется элементарно просто – пользователь просто заходит на вредоносный сайт и злоумышленник получает права устанавливать произвольный софт в фоновом режиме на любых версиях Android всех устройств.
На вышеупомянутой презентации в роли приложения выступил BMX-симулятор (привет лучшим 2D играм на Android!).
Более детальная информация пока не раскрывается, а за найденный баг исследователь получит вознаграждение в рамках программы Bug Bounty.
Комментарии здесь излишни, но мне кажется, что всё так печально обстоит с рутованными девайсами.
Вдобавок ещё Mozilla предлагает попробовать новую операционную систему для устройств Android под названием Firefox OS (детали можно прочитать на официальном сайте https://www.mozilla.org/en-US/firefox/os/2.5/)
Не сказать, что в последнее время Android сдаёт позиции, но с безопасностью в последнее время становится туговато. Взять хотябы исследование других специалистов о том, насколько подвержены популярные приложения реверс-инженерингу. Исследователи взяли ТОП-200 приложений и провели анализ кода (декомпиляцию). Большая часть (примерно 85%) приложений можно было достаточно легко разобрать.
О чём это нам говорит? С механизмами действия большей части приложений можно ознакомиться, а тут могут быть как тонкости алгоритмов (шифрование?), так и обнаружены различные ошибки реализации, которыми может воспользоваться злоумышленник для организации массированных атак на пользователей, использующих данное приложение.
Что хочется сказать, друзья. Будьте бдительны! Не ставьте сомнительный софт из непроверенных источников. А для теста всегда можно воспользоваться боевым эмулятором Bluestacks, который весьма неплохо может справиться с рядовыми приложениями и показать, насколько они безопасны.
Обещают в ближайшее время выпустить обновление, которое закроет эту уязвимость.
Меня поражает, как быстро Adobe клепает обновления к дырявому флешу