вторник, 15 февраля 2011 г.

дырки и патчи для ANDROID

Сразу несколько исследователей в области компьютерной безопасности не сговариваясь про­демонстрировали уязвимости, найденные в платформе Android. Одну дыру показали на конфе­ренции Black Hat, вторую — на конференции Intel.Обе они позволяют установить вредоносное ПО на смартфон в обход запрета пользователя. В первом случае было показано как эксплойтировать телефон НТС с Android «на борту». Проделывается это через компоненты браузера, которые обновляются без предупреждения юзера. 

Во втором случае продемонстрировали как proof-of-concept приложение из Google Market [аддон к игре Angry Birds) инсталлирует в фоновом режиме три опасныхутилиты: для кражи денег, кражи контактов и трекер местопо­ложения. Еще ряд дырок в «Андройде» нашли чуть ранее специалисты компании Alert Logic (интересно, что для этого им пришлось всего-навсего покопаться в старых уязвимостях Webkit). Для одной из обнаруженных ими уязвимостей еще и эксплойт прилагается. По идее, этот баг уже исправлен, но, увы, не до конца. Дыру пофиксил и только для Android 2.2, который используют пока всего 36% устройств. Все вышеописанное, по мнению исследователей, ставит ребром вопрос о необходимости улучшенной системы патчей для Android OS. Ведь на одном только исправлении багов в последних версиях ОС далеко не уедешь, a Google, в основном, придерживается именно такой политики. Не помешал бы еще и более жесткий контроль приложений в Google Market, а также закрытие дыр в Android ниже версии 2.2, но здесь против «Андройда» играет уже тот факт, что ОС и устройства разрабатыва­ются разными компаниями.

 

4 комментария: