Принято считать что для того чтобы ваше устройство на Android было в безопасности, необходимо просто быть внимательным, а необходимость во всевозможных антивирусах и подобных программах на Android, сильно переоценена. Но, несмотря на это, в операционной системе постоянно открываются какие-то новые уязвимости. Так случилось и в этот раз.
Специалисты из Bluebox нашли еще одну уязвимость в операционной системе Android, которая касается всех кто использует версию 2.1 или выше. Угроза под названием "Fake ID" позволяет вредоносным программам обойти систему безопасности разработанную Google. Для достижения цели используются фальсифицированные идентификаторы безопасности, после чего злоумышленник может получить доступ к вашим данным (email, история платежей и т.д.).
Всё дело в том что когда Android OS решает какие права предоставить тому или иному приложению то система обращается к криптографической подписи. Кроме этого, возможности каждого приложения, получать доступ к тем или иным данным ограничиваются так называемой "песочницей", находясь в которой они не могут получить доступ к данным других приложений. Так вот, система Android, оказалась не в состоянии правильно проверить криптографическую подпись на правильность. Но это еще не всё, дело в том что в системе предусмотрен некий список приложений, которые могут легко выходить за пределы песочницы и получать какие угодно данные. Например Adobe Flash может выступать плагином для абсолютно любой программы. Получается что злоумышленнику достаточно притвориться одним из приложений которые имеют доступ для выхода из песочницы.
Если у вас установлен Android KitKat, то можете не волноваться, так как в этой версии ОС, эта лазейка закрыта, но KitKat установлен лишь на 18% от общего числа пользователей Android. Кроме того, кроме Adobe Flash, есть и другие приложения имеющие право выхода из песочницы.
На данный момент Google заявляют что был выпущен патч, которые был предоставлен для всех партнёров Google выпускающих устройства на Android, а так же для самого Android Open Source Project. Так же была ужесточена проверка приложений в Google Play.
Сообщается что некоторые устройства уже начали получать патч закрывающий эту дыру в безопасности. В частности, некоторые пользователи устройств от Motorola уже получили обновления. Однако некоторым придётся подождать, а некоторые вообще не получат обновления, так как некоторые производители совсем не обновляют прошивки для устройств которые они считают устаревшими.
Но не переживайте, если производитель вашего устройств не обновляет вашу прошивку, то вы можете воспользоваться специальным приложением от BlueBox, которое проверит ваше устройство на уязвимости. Приложение можно скачать в Google Play: Bluebox Security Scanner
