З’явився простий спосіб читати чужу переписку на Android смартфонах
Існує маса способів зламати смартфон конкретного користувача і отримати доступ до його листування і файлів, які зберігаються в пам’яті. Зазвичай цим займаються троянські програми, які видають себе за доброякісне ПО і поширюються через сторонні джерела. Незважаючи на всю небезпеку, яку вони представляють, це значно полегшує вибудовування захисної стратегії для користувачів, яким всього-то й потрібно, що не викачувати софт з незнайомих майданчиків і читати відгуки в Google Play, щоб ненароком не нарватися на шкідливий додаток. Шкода тільки, що від вразливостей ті ж методи вас не вбережуть.
Дослідники компанії TrendMicro виявили більше трьох тисяч додатків з уразливістю CVE-2019-11932. Швидше за все, її назва ні про що не говорить пересічному користувачеві, однак важливо тут те, що вона дозволяє зламувати смартфони за допомогою заражених GIF-анімацій. По суті, все, що потрібно зловмисникові, – це відправити гіфку своїй жертві і дочекатися, поки вона збере всі необхідні дані. Правда, для цього важливо, щоб відправник був в списку контактів одержувача, тому що тільки так можна домогтися автоматичного завантаження інфікованої анімації.
Небезпечні вразливості Android
Спочатку ця вразливість була виявлена в WhatsApp і успішно усунута його розробниками. Однак, як з’ясувалося згодом, пролом міститься в бібліотеці libpl_droidsonroids_gif.so, яку багато додатків використовують при роботі з графікою, піддаючи своїх користувачів серйозній небезпеці. В основному, звичайно, мова йде про месенджери, але теоретично вразливість можна виявити в файлообмінниках і додатках іншого типу, назви яких експерти не розкривають в цілях безпеки.
Незважаючи на те що в Google Play регулярно проникають шкідливі програми, які крадуть листування та інші дані своїх жертв, вразливість, про яку йде мова являє навіть більшу небезпеку. Справа в тому, що вона ховається в доброякісних додатках, проломом в яких можуть скористатися не тільки творці, але і такі ж користувачі. Це багаторазово збільшує аудиторію потенційних зломщиків, по суті, не залишаючи жертвам шансів уберегти свою переписку від хакінгу.
Як дізнатися, що додатки збирають ваші дані
Експерти TrendMicro не розголошують список уразливих додатків, але при цьому дозволяють користувачам перевірити, чи не використовується вразливість на їх пристрої. Для цього підійде додаток Mobile Security for Android. Він сканує смартфон на предмет наявності софта, який передає ваші дані на бік, блокуючи з’єднання, а також шукає файли з шкідливим кодом, що використовується для обходу вбудованих в операційну систему і сторонній софт механізмів безпеки.
Втім, як показує практика, більшості користувачів взагалі немає справи до того, що хтось зможе прочитати їх листування. Тому не буде нічого дивного в тому, якщо ті, хто прочитають цю новину, просто проігнорують її. А всього-то й потрібно, що не користуватися аби якими додатками, віддаючи переваги тільки рішенням популярних розробників, які зарекомендували себе з позитивного боку, довівши, що конфіденційність їх клієнтів є для них питанням першорядної важливості.