Новости про Android и уязвимости

Поставщики смартфонов внедряют зловреды в прошивки

Израильские эксперты в области безопасности утверждают, что многие смартфоны на рынке, от таких популярных брендов как Samsung, LG, Xiaomi, ZTE, Oppo, Vivo, Asus и Lenovo заражены вредоносными приложениями, и в ответе за это — поставщики смартфонов.

Вредоносный код, выявленный Check Point, включает средства кражи информации, вымогатели и системы «незаконной рекламы», которые генерируют прибыль, продолжая красть данные пользователей.

Исследователи обнаружили инфекцию в 38 Android устройствах, при этом ни одна из них не была выявлена в официальных прошивках устройств. Орен Кориат, инженер Check Point, полагает, что вредоносный код добавляется при пересылке устройств между производителями и заказчиками.

«Открытие предустановленных зловредов поднимает тревожный вопрос о мобильной безопасности. Пользователи могут получать устройства, содержащие бэкдоры, либо они могут быть зарутированы без их ведома. Чтобы защитить себя от обычных и предустановленных зловредов пользователи должны применять дополнительные меры по выявлению и блокированию любых аномалий в своих устройствах», — отметил Кориат.

Он добавил: «Шесть из выявленных зловредов были добавлены в ROM с использованием системных привилегий, что означает невозможность их удаления пользователем, а устройство должно быть перепрошито».

Список выявленных зловредов и модели инфицированных телефонов приведены в таблице ниже.

APP

Модель

SHA

com.fone.player1

Galaxy Note 2 
LG G4

d99f490802f767201e8d507def4360319ce12ddf46765ca1b1168d64041f20f

com.lu.compass

Galaxy S7
Galaxy S4

f901fd1fc2ce079a18c619e1192b14dcc164c97da3286031ee542dabe0b4cd8c

com.kandian.hdtogoapp

Galaxy Note 4 
Galaxy Note 8.0

b4e70118905659cd9b2c948ce59eba2c4431149d8eb8f043796806262d9a625b

com.sds.android.ttpod

Galaxy Note 2 
Xiaomi Mi 4i

936e7af60845c4a90b8ce033734da67d080b4f4f0ca9c319755c4a179d54bf1b

com.baycode.mop

Galaxy A5

39c6bab80cc157bfe540bdee9ce2440b3b363e830bc7adaab9fc37075fb26fb1

com.kandian.hdtogoapp

Galaxy S4

998ab3d91cbc4f1b02ea6095f833bfed9d4f610eea83c51c56ce9979a2469aea

com.iflytek.ringdiyclient

ZTE x500

e9a30767e69dccb1b980eae42601dff857a394c7abdfe93a18e8739fa218d14b

com.android.deketv

Galaxy A5

01b8cb51464b07775ff5f45207d26d8d9f4a3b6863c110b56076b446bda03a8a

com.changba

Galaxy S4 
Galaxy Note 3 
Galaxy S4 
Galaxy Note Edge 
Galaxy Note 4

a07745f05913e122ec19eba9848af6dfda88533d67b7ec17d11c1562245cbed1

com.example.loader

Galaxy Tab S2

e4e97090e9fd6cc3d321cee5799efd1806b5d8a9dea7c4872044057eb1c486ff

com.armorforandroid.security

Galaxy Tab 2

947574e790b1370e2a6b5f4738c8411c63bdca09a7455dd9297215bd161cd591

com.android.ys.services

Oppo N3 
vivo X6 plus

0d8bf3cf5b58d9ba280f093430259538b6340b24e805058f3d85381d215ca778

com.mobogenie.daemon

Galaxy S4

0038f450d7f1df75bf5890cf22299b0c99cc0bea8d66e6d25528cb01992a436b

com.google.googlesearch

5 Asus Zenfone 2 
LenovoS90

217eee3a83f33b658fb03fddfadd0e2eb34781d5dd243203da21f6cb335ef1b4

com.skymobi.mopoplay.appstore

LenovoS90

3032bb3d90eea6de2ba58ac7ceddead702cc3aeca7792b27508e540f0d1a60be

com.example.loader

OppoR7 plus

1cb5a37bd866e92b993ecbbcc4a2478c717eeb93839049ef0953b0c6ba89434e

com.yongfu.wenjianjiaguanli

Xiaomi Redmi

e5656c1d96158ee7e1a94f08bca1213686a05266e37fb2efb5443b84250ea29d

air.fyzb3

Galaxy Note 4

c4eac5d13e58fb7d32a123105683a293f70456ffe43bb640a50fde22fe1334a2

com.ddev.downloader.v2

Galaxy Note 5

92ae2083a8495cc5b0a0a82f0bdeb53877170d2615ce93bd8081172af9e60f8f

com.mojang.minecraftpe

Galaxy Note Edge

fbe9c495f86a291a0abe67ad36712475ff0674d319334dbd7a2c3aa10ff0f429

com.androidhelper.sdk

Lenovo A850

b0f6d2fc8176356124e502426d7aa7448490556ef68a2f31a78f4dd8af9d1750

Миллионы Android устройств находятся зоне риска из-за бреши Qualcomm

Команда исследователей из Checkpoint Security выявила 4 уязвимости в процессорах Qualcomm, и оказалось, что эти уязвимости могут быть достаточно серьёзными для получения злоумышленниками контроля над телефонами.

Все вместе эти уязвимости получили название Quadrooter и им подвержено порядка 900 миллионов Android устройств по всему миру. Даже несмотря на то, что до настоящего момента ни одна из этих уязвимостей не была использована, компания исследователей уверена, что это всего лишь вопрос времени. Михаэль Шаулов, глава по менеджменту мобильных продуктов Checkpoint, заявил: «я вполне уверен, что вы увидите эти уязвимости в использовании в течение ближайших трёх-четырёх месяцев».

Атака будет включать необходимости установки пользователем некоего вредоносного кода, который может быть представлен в виде вредоносного приложения, не требующего специальных разрешений. Уязвимость связана с режимом ядра и драйвера GPU Qualcomm. Она может предоставить атакующим рут доступ к устройству. Три из этих уязвимостей были исправлены в недавнем обновлении безопасности от Google, а ещё один патч будет выпущен в сентябре. Однако если вы не имеете возможности установить обновления, то вам необходимо предельно осторожно открывать присылаемые файлы и устанавливать приложения из неизвестных источников.

Среди наиболее популярных устройств, подвергаемых опасности, исследователи отмечают BlackBerry Priv и Dtek50, Blackphone 1 и Blackphone 2, Google Nexus 5X, Nexus 6 и Nexus 6P, HTC One, HTC M9 и HTC 10, LG G4, LG G5 и LG V10, New Moto X от Motorola, OnePlus One, OnePlus 2 и OnePlus 3 и Sony Xperia Z Ultra.

В Сети выявлено самое совершенное вредоносное ПО для Android

За последние пару недель Hacking Team опубликовала массу уязвимостей. И одна из таких уязвимостей — RCSAndroid, что расшифровывается как Remote Control System Android, и она является одной из самых совершенных на сегодняшний день вредоносных программ.

С помощью этого инструмента заразить можно даже самую свежую версию ОС, а само заражение происходит посредством посещения заражённого сайта или запуском инфицированного приложения, такого, как поддельное новостное приложение BeNews, выявленное в Google Play. Это приложение обходит проверку безопасности Google за счёт динамической подгрузки дополнительного кода, включая эксплоит, после установки программы.

Как отмечают источники, приложение «предлагает киберпреступникам новый арсенал для улучшения процедуры слежки».

Уязвимости RCSAndroid включают возможности захвата скриншота с экрана и кадрового буфера, слежение за буфером обмена, сбор паролей от WiFi сетей и онлайн учётных записей, запись звука с помощью микрофона, сборку сообщений SMS, MMS и Gmail, запись локации, накопление информации об устройстве и фотографирование обеими камерами.

Также эксплоит позволяет собирать контакты и декодировать сообщения из IM клиентов, включая Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Hangouts, Telegram и BlackBerry Messenger и записывать голосовые разговоры в реальном времени в любой сети или приложении с использованием системной службы mediaserver.

Google заявляет об уменьшении числа заражений Android вдвое

Экосистема Android несёт свой немалый вклад в количество заражённых вычислительных систем, однако согласно уверениям Google, она начала активно бороться с вредоносным ПО.

Конечно, оно не исчезло совсем, однако за 2014 год количество вредоносных приложений уменьшилось вдвое.

В настоящее время Google считает, что лишь 1% всех Android устройств содержит опасное ПО. Что касается магазина Google Play, то здесь число вредоносных программ упало до 0,15%.

И хотя из этого сообщения не совсем понятно, какое же именно ПО компания считает вредоносным, ясно, что количество его установок резко снизилось.

Поисковый гигант выпустил большой 44-страничный документ по безопасности. В нём ничего не сказано об уязвимости WebView, о которой много говорят в последнее время. Тем не менее, отчёт сообщает о больших инициативах компании по повышению безопасности и очистке многих платформ и сервисов Google, включая браузер Chrome.

Уязвимость коснулась 86% Android смартфонов

Эксперты в области безопасности сообщают, что 86% Android смартфонов имеют уязвимость, которая позволяет атакующим получить доступ ко всем важным данным пользователя.

Уязвимость находится в Android KeyStore, которая является крайне важной зоной ОС, ответственной за хранение криптографических ключей и прочих важных сведений. Уязвимость была выявлена исследователями IBM, которые смогли использовать ошибку и выполнить вредоносный код, который извлёк ключи, используемые для банкинга и прочих важных приложений, служб VPN и PIN кодов или сканов отпечатков пальцев, использующихся для входа в систему. Уязвимость существовала незамеченной некоторое время, но компания Google исправила её в KitKat. Однако старые версии ОС, которые занимают 86,4% рынка, не получили исправлений.

Следует отметить, что брешь не так-то просто использовать. Атакующим потребуется заставить пользователя установить специальное приложение, которое должно обойти все прочие схемы защиты. При этом исследователи отмечают, что уязвимость по-прежнему остаётся опасной, поскольку способна привести к потере наиболее важных ресурсов, хранящихся в Android ОС.

Наследник Heartbleed живёт в WiFi сетях и Android

Несмотря на то, что ошибка Heartbleed была давным-давно залатана, уязвимость, основанная на том же самом эксплоите, была недавно выявлена Льюисом Гранжиа, из информационной компании в области безопасности Sysvalue.

Вариация ошибки, названная Cupid, использует тот же эксплоит, как и оригинальный Heartbleed, однако работает с данными, перехватываемыми между Android устройствами и WiFi роутерами, атакуя, таким образом, оба типа устройств.

Алгоритм OpenSSL был уязвим к атакам с 2011 года. Гуру в области безопасности Брюс Шнайдер, после того как им была выявлена уязвимость, была вознесена «по шкале от 1 до 10 на уровень 11».

Эксплоит Cupid требует наличие Android устройства, подключённого к WiFi сети с протоколом EAP-PEAP, EAP-TLS или EAP-TTLS. И хотя уязвимость была обнаружена только на Android, Гранжиа допускает, что Cupid может существовать и на прочих операционных системах, использующих эти протоколы, включая машины под управлением iOS и OS X, VoIP устройства и принтеры, так что Sysvalue рекомендует проверить и остальные устройства.

Эксплоит Cupid положил конец надеждам на то, что Heartbleed может быть использован только после TLS подключения при протоколе TCP. Эксплоит может прекрасно существовать и в 802.1X (NAC) сетях, даже проводных.

99% вредоносного мобильного ПО приходится на Android

99% мобильных угроз, выявленных в первом квартале 2014 года, приходятся на операционную систему Android. Таковы данные исследований, опубликованные F-Secure.

Из 277 новых угроз, установленных в исследовании F-Secure, лишь две были нацелены на другие операционные системы. Одна — на iOS, а вторая, как ни странно, на Symbian. Из этих 275 программ 91% является вредоносным, а оставшиеся 9% называются «потенциально нежелательными приложениями», к которым исследователи отнесли приложения, разрешения доступа которых могут привести к утечке данных или иному нарушению приватности.

Как не трудно догадаться, 88% угроз были мотивированы финансово, но лишь 19% являлись частью ботнетов, таких как недавно выявленный ботнет по добыче биткоинов на Android устройствах.

Однако несмотря на столь значимые цифры, мобильное вредоносное ПО остаётся относительно редким явлением, по сравнению с тем, что находят специалисты на настольных ПК. Что касается источников, то в прошлом году лишь 2% вредоносного кода попадало на устройства из Play Store, остальные же программы проникали из сторонних репозиториев или были загружены на различных программных сайтах.

Наиболее часто встречающимися типами угроз стали Fakeinst. Этот тип угроз привлекает людей различными способами, как правило содержимым эротического характера, чтобы пользователи установили вредоносную программу. После чего программа начинает рассылать SMS сообщения на платные сервисы. Угрозы типа Fakeinst составили 45% среди всех вредоносных программ, выявленных в марте этого года.

Android приложения с Heartbleed были загружены 150 миллионов раз

Пропатчить операционную систему Android, которая может быть уязвима, это один вопрос, и совсем другой — устранить уязвимости в приложениях для этой ОС.

Исследовательская фирма FireEye утверждает, что в мире было загружено порядка 150 миллионов приложений для Android, уязвимых к ошибке Heartbleed. И что ещё хуже, в Google Play полно уязвимых приложений, которые никак не сортированы, а значит, вам будет крайне неудобно узнавать, уязвима ли ваша любимая программа.

 «Приложения Android часто используют родные библиотеки, которые напрямую или косвенно касаются уязвимых библиотек OpenSSL», — отмечают исследователи. «Поэтому, несмотря на то, что платформа Android не подвержена уязвимости сама по себе, взломщики по-прежнему атакуют её уязвимые приложения. Они могут украсть сетевой трафик, перенаправить приложение на вредоносный сервер и затем послать приложению поддельное подтверждение heartbeat, чтобы украсть важный контент из памяти».

10 апреля специалисты FireEye установили, что уязвимые приложения были загружены 220 миллионов раз, однако спустя неделю их количество уменьшилось до 150 миллионов. Так что не всё плохо, есть и хорошие новости. Похоже, что авторы приложений достаточно быстро исправляют свои программы, делая их безопасными к Heartbleed.

Повреждение памяти может испортить 80% Android устройств

Исследователи в области безопасности установили, что в Android имеется ошибка, которая может приводить к повреждению памяти, и эта ошибка может «закирпичить» телефон или планшет.

Пока нет свидетельств о том, что данная уязвимость активно используется, однако исследователи сообщили, что около 80% устройств находятся в опасности.

«Мы считаем, что данная уязвимость может быть использована киберпреступниками, чтобы производить серьёзные разрушения Android смартфонов и планшетов, которые включают „закирпичивание“ устройства или приведение его в неработоспособность иными способами», — заявил аналитик мобильных угроз Trend Micro Вео Жан. В своём блоге он также написал: «В этом смысле устройство становится недоступным, когда оно попадает в бесконечную перезагрузку».

По информации Trend Micro, данная уязвимость означает, что хакеры могут сделать троянское приложение, которое нацелено на устройства под управлением Android версий 4.0 и новее, и если верить статистике Android Developer forum, то таковыми являются до 80% устройств среди всех зарегистрированных в Google гаджетов.

Google знает каждый пароль WiFi, используемый с Android

На поверхность всплыла очередная проблема с приватностью в операционной системе Android.

Эксперты в области этой мобильной ОС утверждают, что инструмент резервирования в системе выполняет свою работу таким образом, что копия WiFi паролей каждой сети, к которой когда-либо подключалось устройство, начинает храниться на серверах Google. К сожалению, это может означать, что в случае давления со стороны правительственных органов, компания может выдать эти данные.

В Android 4.2 сервис резервного копирования отмечает пароли к WiFi как данные, которые будут включены в копию, в то время как более ранние версии ОС отдельно не оговаривают это. Конечно, эту функцию можно выключить вовсе, но тогда пользователи потеряют другую полезную информацию в случае восстановления.

Главная проблема заключается в том, что Google хранит эти пароли. Причём хранит их в таком виде, что может прочитать их, при необходимости. Это становится ясно из того, что новые Android устройства могут подтягивать данные с серверов Google, среди которых старые пароли, данные входа и настройки устройства сразу после того, как вы ввели учётную запись Gmail и новый пароль.

Конечно, у этого подхода есть две стороны. К примеру, мы можем легко управлять паролями к разным устройствам и службам, но это же, в некоторой мере, снижает безопасность используемых нами сетей.

Конечно, этот факт нельзя назвать шокирующим. Скорее он выглядит странным, особенно учитывая последние инициативы компании. И непременно, такой подход вызовет бурю негатива, если правительство всё же потребует раскрытия этих сведений, а Google безоговорочно их выдаст.

В Android найдена огромная уязвимость

Исследователи безопасности утверждают, что недавно выявленная уязвимость в операционной системе Android ставит под удар практически все имеющиеся на планете устройства с этой ОС.

По данным Bluebox Security эксплоит, который существует уже на протяжении 4 лет в ОС Android, начиная с версии 1.6, позволяет хакерам модифицировать код приложений без нарушения его криптографической подписи. А это, теоретически, может превратить вполне законные программы в троянцев.

Фирма отмечает, что вредоносные приложения не будут «никак определяться в магазинах приложений, телефоне или пользователем», дополнительно хакеры могут использовать уязвимость, чтобы выполнять практически любое действие с устройством. Самой же сложной частью в распространении этой угрозы будет заставить пользователя установить подозрительное стороннее обновление для программы. Но как показывает опыт с завирусованными клонами браузера Opera, с невнимательным и необразованным пользователем это сделать довольно просто.

При этом технический директор Bluebox Джефф Форристал подтвердил CIO, что, к примеру, Samsung уже исправила уязвимость в Galaxy S4, сделав, таким образом, этот смартфон единственным Android устройством, защищённым от свежевыявленного эксплоита. Google также объявила о том, что готовит исправления в устройствах Nexus.