Зияющая дыра безопасности в нескольких поколениях ОС Android
Новая уязвимость CVE-2018-9489, обнаруженная в операционной системе Android, позволяет приложениям игнорировать и обходить запреты на доступ и передачу системной информации. Об этом сообщила компания Nightwatch Cybersecurity, чьи специалисты впервые обнаружившие и описавшие эту уязвимость.
По данным Nightwatch Cybersecurity, уязвимость позволяет злоумышленникам через параметры WifiManager’s NETWORK_STATE_CHANGED_ACTION и WifiP2pManager’s WIFI_P2P_THIS_DEVICE_CHANGED_ACTION получить несанкционированный доступ к таким данным пользователя, как используемое устройством имя сети Wi-Fi, базовый сетевой идентификатор BSSID, MAC-адрес устройства, а также информацию о DNS-сервере и локальные IP-адреса.
«Системные трансляции с ОС Android предоставляют информацию об устройстве пользователя всем запущенным приложениям, включая имя сети Wi-Fi, BSSID, локальные IP-адреса, информацию DNS-сервера и MAC-адрес. К части этой информации (MAC-адрес) доступ через API перекрыт начиная с Android 6 и выше, для доступа к остальной части информации обычно требуются дополнительные разрешения. Тем не менее, перехватывая системные сообщения, любое приложение на устройстве может получить эту информацию, минуя тем самым любые запреты и проверки разрешений доступа». – отметили аналитики Nightwatch Cybersecurity.
Решения проблемы не будет
Проблема с уязвимостью актуальна не только для различных версий Android, но также операционных систем – клонов на ее основе, например, Amazon FireOS для «читалок» Kindle.
Обладая доступам к пулу этих данных, любой желающий с помощью предустановленных приложений может отслеживать перемещения пользователя смартфона. Кроме того, злоумышленники могут воспользоваться данными утечки для совершения атаки на сеть Wi-Fi с риском взлома и доступа всех устройств в этой сети.
Как сообщили аналитики Nightwatch Cybersecurity, в Google знают об этой уязвимости и уже закрыли ее в новейшей версии операционной системы Android 9.0 Pie.
Настоящая проблема заключается в том, что на сегодняшний день обновление до Android 9.0 готово лишь менее чем для 0,1% от всего мирового парка Android-смартфонов. Для многих смартфонов, особенно на старых версиях ОС, выпуск обновления до новейшей версии ОС и вовсе не планируется.
Что делать?
Наиболее неприятным фактом стало то, что Google не планирует закрывать уязвимость CVE-2018-9489 в старых версиях своей мобильной операционной системы, поскольку устранение уязвимости «будет нарушением API-интерфейса», отметили в Nightwatch Cybersecurity.
Всем пользователям смартфонов и других гаджетов со старыми версиями ОС Android аналитики Nightwatch Cybersecurity настоятельно рекомендуют воздерживаться от загрузки каких-либо неофициальных или подозрительных приложений, которые могли бы использовать обнаруженную уязвимость против пользователя.