Спецпроекты

Проблема в Android угрожает миллионам смартфонов

3155
Безопасность Пользователю Техника

В Android-гаджетах выявлена уязвимость CVE-2020-0103, эксплуатация которой дает хакерам полный контроль над устройством. Они могут удалять файлы, красть личную информацию, устанавливать приложения, и все это без участия пользователя. Google выпустил патч, устраняющий эту брешь, но его распространение происходит очень медленно.

Новая брешь в Android

В смартфонах и планшетах на базе Android обнаружена уязвимость, позволяющая хакерам перехватывать контроль над устройствами. По данным некоммерческой организации Center for Internet security (CIS), количество устройств с этой уязвимостью может исчисляться миллионами.

Бреши присвоен номер CVE-2020-0103, и она позволяет атакующим удаленно запускать на Android-гаджетах исполнение кода и в дальнейшем получать возможность устанавливать программы, удалять файлы, менять данные и создавать учетные записи с полными правами доступа, и все это без ведома владельца устройства.

Решение существует

Компания Google осведомлена о существовании уязвимости CVE-2020-0103 в составе Android, и на момент публикации материала она была устранена. 5 мая 2020 г. Google выпустил свежий патч безопасности, закрывающий эту брешь, однако его релиз не означает, что все Android-устройства автоматически защищены.

andr600.jpg
Безопасность Android далека от идеала

На самом деле, подавляющее большинство гаджетов под управлением Android по-прежнему остаются уязвимы – на 7 мая 2020 г. необходимые апдейты для своих смартфонов выпустил лишь сам Google. Распространением патча занялась и корейская компания Samsung, но в ее случае, как пишет ресурс Neowin, это касается пока лишь флагманских моделей.

Сроки выпуска обновлений, устраняющих уязвимость CVE-2020-0103 в смартфонах других производителей, зависят напрямую от вендора – компании могут растянуть этот процесс на несколько месяцев или вовсе не выпустить требуемый апдейт – так может случиться, к примеру, с устройствами, поддержка которых прекращена. Специалисты CIS не уточняют, как долго существует эта уязвимость, и в какой из версий Android она появилась.

Способы защиты от взлома

Хакеры не смогут взломать гаджет через уязвимость CVE-2020-0103, если не открыть им прямой путь к устройству. Для защиты своего смартфона или планшета следует игнорировать электронные письма от незнакомых отправителей и тем более не переходить приведенным в них ссылкам.

Также не следует посещать сомнительные веб-сайты, даже если ссылка на них есть в поисковой выдаче по требуемому запросу. Еще один способ снизить вероятность лишиться контроля над устройством – устанавливать только известные приложения и только через Google Play или фирменный магазин производителя смартфона. Сторонним источникам доверять не следует.

Дополнительный риск для владельцев смартфонов Samsung

Новый патч безопасности Google устраняет, в общей сложности, 39 уязвимостей. Среди них есть и SVE-2020-16747, присутствующая в смартфонах Samsung, как сообщал CNews, с 2014 г.

SVE-2020-16747 была обнаружена специалистом по безопасности Матеушем Юрчиком (Mateusz Jurczyk) из команды Google Project Zero. Данная уязвимость, получившая дополнительное наименование CVE-2020-8899, кроется в обработчике изображений Qmage, встроенном в прошивки смартфонов Samsung. Проблема усугубляется тем, что для реализации с ее помощью взлома хакеру не требуется дополнительных действий со стороны пользователя – достаточно будет отправить ему особым образом оформленное изображение. Файл может быть передан по электронной почте, мессенджеру или даже посредством MMS.

Демонстрация работы уязвимости

Матеуш Юрчик создал рабочий прототип эксплойта, при помощи которого удаленно запустил на топовом смартфоне Galaxy Note 10+ с прошивкой на базе Android 10 штатное приложение «Калькулятор». Для этого он всего лишь отправил на устройство «зараженное» MMS-сообщение. Вернее, отправлено было в общей сложности около 120 сообщений, а сама атака длилась около 100 минут прежде, чем завершилась успехом. По словам специалиста по безопасности, в зависимости от устройства или его прошивки для проведения атаки с использованием CVE-2020-8899 может потребоваться отправить от 75 до 450 сообщений.