Новая уязвимость в Android позволяет имитировать приход SMS с любого номера
Недавно вскрытая проблема с утечками привилегий в операционной системе Android позволяет приложениям получать доступ к функциям телефона, которые им не разрешены.
Напомним, группа исследователей из государственного университета Северной Каролины сообщила о находке конкретного способа, как любое приложение может получить доступ к функции WRITE_SMS, то есть может эмулировать на устройстве приход SMS с произвольным текстом с любого номера. Подобная функция исключительно полезна для проведения атак типа SMS-фишинг. Злоумышленники могут присылать пользователю фиктивные SMS с доверенного номера, содержащие вредоносную ссылку.
"Уязвимость в Android, позволяющая имитировать приход SMS с любого номера, особенно опасна, поскольку события последнего времени явно показывают: сочетание методов социальной инженерии с использованием вредоносного ПО способно обмануть существенное число пользователей и заставить их поступать так, как это выгодно злоумышленникам, - прокомментировали эксперты eScan в России и СНГ. - Ситуацию усугубляет то, что практически все Android-устройства имеют постоянное подключение к интернету, что может способствовать быстрому лавинообразному нарастанию возможной эпидемии. Хорошо, что уязвимость была обнаружена исследователями, не имеющими отношения к киберпреступности. Безусловно, будет выпущено обновление, закрывающее данную уязвимость. Но в случае такой фрагментированной системы (Android) можно с уверенностью сказать, что далеко не все устройства своевременно получат заплатку, поскольку существует огромное количество производителей устройств, которые вообще не обновляют прошивки или делают это крайне редко".
Эксперты eScan уверены: данная уязвимость в ближайшее время будет использована злоумышленниками, а в "группу риска" попадут не менее половины существующих Android-устройств. Все, что останется пользователям - крайне осторожно относиться к информации в SMS-сообщениях.
© @Astera
