Специалисты в области информационной безопасности обнаружили уязвимость в смартфонах на базе операционной системы Android. Уязвимость позволяет злоумышленникам записывать телефонные разговоры, получать данные о местонахождении пользователей и получать несанкционированный доступ к другой информации.
Смартфоны, которые производятся HTC, Samsung, Google и Motorola и работают на базе Android, содержат уязвимость, эксплуатируемую ненадежными приложениями, заявили ученые из Университета Северной Каролины.
Эксперты отмечают, что брешь позволяет приложениям обойти встроенную функцию безопасности, которая запрашивает разрешение пользователей на доступ к личной информации и функционалу, ответственному за отправку текстовых сообщений. Брешь содержится в интерфейсах и сервисах, которые производители добавляют в устройства, чтобы обеспечить совместимость с ОС Android.
При проведении анализа уязвимости, исследователи разработали приложение под названием Woodpecker, и установили его на восемь смартфонов четырех производителей. Наиболее уязвимым оказался продукт компании HTC EVO 4G, в котором можно было получить доступ к управлению камерой, сервисом отправки сообщений, диктофону, а также информацию о местоположении владельца устройства. Далее по количеству уязвимых функции следует HTC Legend. Epic 3G от Samsung содержал три уязвимых функции, среди которых присутствует возможность удаления данных и приложений с устройства. Nexus One и Nexus S от Google содержали только одну уязвимую функцию.
Эксперты отмечают, что в отличие от устройств iPhone, на которые пользователи могут загружать только приложения, одобренные компанией Apple, Android-рынок не проводит проверку продуктов, предлагаемых пользователям операционной системы. Для того чтобы обезопасить пользователей, Google внедрил в свою ОС функционал, позволяющий пользователям осуществлять контроль над личными данными, к которым могут получать доступ определенные приложения . Перед запуском новой программы, пользователю предоставляется также список данных, к которым ей требуется доступ. Таким образом, пользователи могут отметить установку, если у них появились подозрения по отношению к новому приложению.
Эксперты сняли видеозапись, в которой они демонстрируют, как созданное ими приложение разрешает получить доступ к диктофону и сервису отправки текстовых сообщений на устройстве EVO 4G, без запрашивания разрешения у пользователя. В результате, приложение было способно включить диктофон для записи разговоров. Приложение также способно отправлять текстовые сообщения без ведома пользователя.
В Университете Северной Каролины отмечают, что представители Google и Motorola подтвердили наличие уязвимостей в своих продуктах, в то время как HTC и Samsung «не спешили отвечать на заявления экспертов».
