Группа исследователей выявила уязвимость, которая может использоваться для получения несанкционированного доступа к данным владельцев мобильных устройств.
Как заявляют исследователи, при помощи зловредного приложения злоумышленник может просматривать активность пользователя в других приложениях, красть персональные данные (включая финансовую информацию и реальный адрес), названия учетных записей и пароли к ним. При этом вредоносное приложение работает в фоновом режиме и не привлекает внимание пользователя. Фактически, вредоносный код может быть внедрен в относительно безобидное приложение, например, альтернативные обои или сборник SMS-поздравлений.
Также злоумышленник может получить доступ к камере на смартфоне пользователя и перехватывать сделанные снимки. При этом удается перехватить даже защищенные фотографии (например, изображения чека), недоступные для других приложений. Таким образом, можно просматривать закрытую финансовую информацию, включая номер счета пользователя, а также получить изображение его подписи. Следует отметить, что вредоносное приложение в своих свойствах не имеет каких-либо чрезвычайных привилегий.
В процессе тестирования метода получения несанкционированного доступа к данным исследователи смогли успешно осуществлять до 92% атак. Метод успешно сработал при тестировании 6 из 7 популярных приложений. Среди успешно взломанных приложений называются Gmail (92% успешных атак), H&R Block (92%), Newegg (86%), WebMD (85%), CHASE Bank (83%), Hotels.com (83%). Лишь защиту приложения Amazon было относительно тяжело преодолеть, для него показатель успешных атак составил менее половины — 48%.
Применение этой уязвимости было показано на примере Android-смартфона. Однако, по словам исследователей, этой проблеме подвержены мобильные операционные системы Android, Windows и iOS. Хотя тесты на других ОС еще не проводились.
Источник: Phys