В Android найдена ошибка, позволяющая устанавливать программы без ведома пользователя
В платформе Android найдена недоработка, дающая возможность злоумышленнику молча поставить приложение без потребности совершения доказательства операции с позиции пользователя.
🕛 13.11.2010, 11:52
При установке программ в штатном режиме пользователю требуется пройти несколько шагов, на одном из которых требуется подтвердить делегирования приложению прав доступа к подобным функциям, как сеть, телефония, GPS, персональная информация и т.п.Обнаруженная уязвимость дает возможность обойти эти шаги и скрыть от пользователя не только лишь применение в приложении расширенных функций, но еще и сам факт установки приложения. Суть трудности связана с поддержкой во встроенном web-браузере функции установки пакетов программ (INSTALL_PACKAGES). По предварительным данным возможность добавлена лишь в телефонах компании HTC с целью автоматического обновления Flash-плагина. При наличии в браузере уязвимости (к примеру, такой как была найдена в прошивке Android 2.1) злоумышленники могут воспользоваться функцией INSTALL_PACKAGES для скрытой установки любого пакета, а не только лишь для обновления Adobe Flash.
Более того, ученый компьютерной безопасности Йон Оберхейде (Jon Oberheide), раньше указавший на возможность загрузки вредоносных программ в каталог Android Market, показал еще 1 вид атаки, базирующейся на возможности создании фиктивных параметров аутентификации для Android Market. В результате ученый загрузил в Android Market приложение "Angry Birds Bonus Levels", которое при собственной установке молча инсталлировало 3 доп. утилиты ("Fake Toll Fraud", "Fake Contact Stealer" и "Fake Location Tracker"), которым были активированы привилегии отправки SMS. Сейчас эти программы удалены из Android Market, однако тревожит сам факт их возникновения там.