Вирус на Android

Создан эксплойт, способный взломать 73% android-устройств

От слов к делу –  эксперты из компании Rapid7, устав требовать от Google решения проблемы фрагментации платформы, написали собственный вирус. Используя старую, известную, но до сих пор не закрытую уязвимость, с его помощью можно хакнуть две трети всех устройств с Android на борту в мире.

virusНичего опасного и противозаконного данный эксплойт не делает – он создан исключительно для демонстрации того, как легко любой владелец гаджета с Android 4.2 и ниже может стать жертвой. За основу взята выявленная еще в 2012 году уязвимость в компоненте WebView, встроенного в систему по умолчанию, браузера. Передав особый код, злоумышленник извне может запустить на смартфоне или планшете любое приложение. От банального рекламного баннера до трояна, бекдора или еще чего похуже – современные хакеры не страдают от недостатка фантазии.

Опасность подстерегает поклонников зеленого робота везде – передать короткий код можно через обычную ссылку на сайт, вложением в письме, через подставную фишинговую страничку. Или просто встроив его в QR-код на уличном рекламном плакате – пользователь отсканирует его машинально, по аналогии с сотнями прочих изображений. И что совсем плохо, уязвимость срабатывает на любом устройстве под управлением Android. Например, некто Джошуа Дрейк (Joshua Drake) сообщил, что успешно опробовал эксплойт на «умных очках» Google Glass.

 Google GlassСитуация печальна, ведь хоть в последних версиях Android уязвимость и закрыта, старые системы все еще в зоне риска. И если верить статистике самой Google, то к ним относится 73% всех Andoid-устройств на планете – именно столько еще используют Android 4.2 и ниже. А все потому, что у компании из Маунтин-Вью все еще нет единого централизованного сервиса выпуска обновлений, по аналогии с механизмом, используемым Microsoft для ее Windows. И пресловутая открытость платформы на деле оборачивается тем, что многочисленные сторонние производители гаджетов годами не обновляют прошивку – некому их приструнить.

Справедливости ради стоит отметить, что Google пытается что-то предпринять. Так в 2011 году был сформирован Android Upgrade Alliance, члены которого обязались в течение 1,5 лет после выпуска очередной модели педантично выпускать обновления для нее. Неплохая идея на деле оказалась неэффективной и глобальная проблема так и не была решена. Все, что сейчас фактически может делать IT-гигант, это своевременно создавать новые версии тех приложений и сервисов, которые он сам и обслуживает. То есть, Gmail, Maps, Search, а с недавних пор и YouTube, но ядро платформы «освежается» только на смартфонах Nexus, которые выпускает сама корпорация.

android

Дополнительный негатив – крупные компании-производители просто обожают «украшать» Android своими фирменными надстройками сомнительного качества. И Google не может им запретить это делать, в отличие, например, от Apple. Как следствие, разработав в короткие сроки лекарство, внедрять его приходится годами, тогда как купертиновской компании на устранение крупной уязвимости в сентябре 2013-го потребовалась от силы неделя времени. А ведь на самом деле подводных камней еще очень много, вспомнить хотя бы прошлогодний летний скандал. Тогда специалисты из Bluebpx выявили дыру в Android, чей возраст более 4 лет – она присутствует во всех версиях, начиная с 1,6, а это более 90% Android-устройств в мире.

Смотрите также: