Tyrėjai parodė, kad vagys gali pasiekti „Android“ mobiliuosius telefonus per artimojo lauko ryšio (NFC) ryšius.
Pasak serijinio telefono įsilaužėlio Charlie Miller, įsilaužimas veiktų su daugeliu NFC palaikančių telefonų ir meta šešėlį mokėjimo sistemoms, naudojančioms šią technologiją. „Galiu perimti tavo telefoną“, – pasakė Milleris.
Įsilaužimas ir daugybė kenkėjiškų programų pažeidžiamumų buvo parodyti Black Hat įsilaužimo konferencijoje Las. Vegase, kur 6500 įmonių ir vyriausybės saugumo specialistų susirinko sužinoti apie kylančias grėsmes tinklus.
NFC leidžia vartotojams dalytis nuotraukomis su draugais, atlikti mokėjimus ar keistis kitais duomenimis naudojant „Android“. telefonų kelių centimetrų atstumu nuo panašiai įrengtų įrenginių, pavyzdžiui, kito išmaniojo telefono ar mokėjimo terminalas.
„Google“ pridėjo keletą puikių saugos funkcijų, tačiau niekas jų neturi
Milleris sakė sukūręs pašto ženklo dydžio įrenginį, kurį būtų galima įklijuoti nepastebimoje vietoje, pavyzdžiui, prie kasos restorane. Kai „Android“ telefonas yra pakankamai arti, jis gali gauti prieigą prie sistemos. Milleris taip pat pademonstravo „Bluetooth“ įsilaužimus, kad pasiektų telefonuose saugomus duomenis.
Milleris ir jo kolega įsilaužimo ekspertas Georgas Wicherskis iš „CrowdStrike“ taip pat užkrėtė „Android“ telefoną kenkėjiško kodo dalimi, kurią Wicherskis pristatė vasario mėnesį. Ši programinė įranga išnaudoja „Android“ naršyklės saugos trūkumą, kurią viešai atskleidė „Google Chrome“ naršyklės kūrimo komanda.
Su kai kuriais ekspertais vyksta diskusijos dėl kenkėjiškų programų grėsmės „Android“ naudotojams lygio abejoja antivirusinių firmų gąsdinimo taktika. Demonstracijos rodo, kad problema bent jau egzistuoja, nepaisant to, kad „Google“ bando pagerinti situaciją naudodama „Bouncer“ aptikimo sistemą. „Google daro pažangą, bet kenkėjiškos programinės įrangos autoriai juda į priekį“, – sakė Seanas Schulte'as iš Trustwave's SpiderLabs.
Sistemos atnaujinimas yra trūkumas
„Google“ ištaisė „Chrome“ trūkumą, kuri dažnai atnaujinama, kad dauguma vartotojų būtų apsaugoti, tačiau Wicherski sakė „Android“ naudotojai vis dar yra pažeidžiami, nes operatoriai ir įrenginių gamintojai nepakeitė šių pataisymų ar pataisų vartotojų.
Marcas Maiffretas, saugumo įmonės „BeyondTrust“ vyriausiasis technologijų pareigūnas, sakė: „Google pridėjo keletą puikių saugos funkcijų, bet niekas jų neturi.
Ekspertai teigia, kad iPhone ir iPad nesusiduria su ta pačia problema, nes Apple gana greitai išleidžia saugos naujinimus po jų išleidimo.
„Play Store“ išnaudojimai
Du „Trustwave“ tyrėjai taip pat papasakojo dalyviams apie techniką, kurią jie atrado, kad išvengtų „Google“ „Bouncer“ technologijos, skirtos kenkėjiškoms programoms atpažinti „Google Play“ parduotuvėje.
Jie sukūrė tekstinių pranešimų blokavimo programą, kuri naudoja teisėtą programavimo įrankį, žinomą kaip „JavaScript Bridge“. „JavaScript Bridge“ leidžia kūrėjams nuotoliniu būdu pridėti naujų funkcijų prie programos neatliekant įprasto „Android“ naujinimo proceso.
Įmonės, įskaitant „Facebook“ ir „LinkedIn“, „JavaScript Bridge“ naudoja teisėtais tikslais, pasak „Trustwave“, tačiau jis taip pat gali būti piktybiškai išnaudotas.
Norėdami įrodyti savo teiginį, mokslininkai į vieną iš savo telefonų įkėlė kenkėjišką kodą ir nuotoliniu būdu perėmė naršyklės valdymą. Kai jie tai padarė, jie galėjo priversti jį atsisiųsti daugiau kodo ir suteikti jiems visišką kontrolę.
„Tikimės, kad „Google“ greitai išspręs problemą“, – sakė Nicholas Percoco, „Trustwave's SpiderLabs“ vyresnysis viceprezidentas. „Kol kas Android yra laukiniai vakarai.
