В Android обнаружена уязвимость, удобная для фишинга и назойливой рекламы

На конференции DefCon в Лас-Вегасе, США, разработчик Шон Шульте (Sean Schulte) из Trustwave и старший вице-президент и глава подразделения SpiderLabs в этой компании, Николас Перкоко (Nicholas Percoco), продемонстрировали довольно неприятную уязвимость в операционной системе Google Android, которая легко используется с помощью стандартных средств Android API, сообщает CNET. В частности, злоумышленники могут создавать безобидные на первый взгляд приложения, которые на самом деле являются программными модулями для фишинга. Напомним, что фишинг — это вид интернет-мошенничества, целью которого является получение конфиденциальных данных пользователей путем подмены стандартных страниц и форм входа на известные интернет-ресурсы. Хотя, с помощью почтовой спам-рассылки злоумышленники умудряются получать не только логины и пароли учетных записей, но и другие сведения, вроде номеров кредитных карт.

В Android обнаружена уязвимость, удобная для фишинга и назойливой рекламы

Шон Шульте и Николас Перкоко из Trustwave

В случае с Android разработчик может заставить приложение выводить свое окно на передний план автоматически, без подтверждения со стороны пользователя. Это удобно для фишинга, когда при достижении определенных условий, например, появлении окна входа в Facebook, окно браузера или клиента окажется заменено фальшивой программой, отправляющей введенные сведения злоумышленникам. Кроме того, те же самые API могут использоваться для создания раздражающих рекламных объявлений, появляющихся посреди экрана или даже занимающих всю рабочую область дисплея и не включающих никаких органов управления для закрытия этого окна.

Специалисты из SpiderLabs пообщались с представителями Google по этому поводу и последние пообещали внести необходимые изменения в API для решения обнаруженной проблемы. Тем не менее, быстрой реакции ждать не стоит, так как в данном случае речь идет об одной из основ Android — системе многозадачности и возможности быстрого переключения между окнами. Пока же Google пообещала активно удалять из Android Market зловредные приложения, но это не выход, так как существует масса сторонних магазинов приложений для этой платформы, не контролируемых со стороны интернет-компании.