Какие самые распространенные уязвимости в Android-приложениях?

1
Ищем уязвимости в Android бесплатными приложениями Гид по Android

В продолжение темы об уязвимостях в ОС Android мы рассмотрим способы их обнаружения при помощи бесплатных программ с официального магазина Google Play. Поскольку ошибки находятся преимущественно в системных компонентах, устранить многие из них самостоятельно не удастся – нужно обновлять прошивку. Если же её новой версии нет, то иногда можно принять альтернативные меры: изменить настройки и подобрать замену потенциально опасным приложениям. Praemonitus praemunitus!

Для тестирования мы использовали три самых распространённых в настоящее время платформы: Android 4.2.1, 4.4.4 и 5.1.1. Во всех приводимых результатах сканирования они соответственно указаны слева направо. Исключение составляет первая иллюстрация, где мы проверили версию Android 5.0 — последнюю из содерживших не полностью закрытую уязвимость Stagefright.

Прицельный огонь

Быстрее всего появляются утилиты для выборочной...

0 0
2
Уважаемые и многолюбимые хабравчане, предлагаем вам ознакомиться с крайне интересным материалом нашего аналитика Александра Горячева, написанным специально для Habrahabr. Статья посвящена обзору существующих уязвимостей крайне популярной мобильной платформы Android, а также тому, как можно было бы сделать ее более безопасной. Комментарии и собственные соображения по теме приветствуются.

ОС Android за небольшой промежуток времени стала одной из самых популярных систем для всевозможных мобильных устройств. Ее используют как крупные производители с мировым именем, так и небольшие компании, поэтому ценовой разброс готовой продукции, такой как смартфоны и планшетные компьютеры, позволяет удовлетворить потребности потребителей практически на сто процентов. Именно широкий ассортимент, гибкое ценообразование и поддержка платформы со стороны внушительного числа производителей стали одними из главных факторов успеха и позволили системе занять нынешнее положение на рынке.

Однако...

0 0
3

Уязвимость в Android

позволяет злоумышленникам превратить любое приложение в троян


Исследовательская группа Bluebox Security Labs недавно обнаружила уязвимость в модели обеспечения безопасности Android, которая позволяет изменить код приложения .apk, не повреждая криптографическую подпись приложения. Таким образом можно превращать любое подписанное приложение в троянскую программу. Причем подмены абсолютно никто не заметит. Ни Play Market, ни телефон, ни пользователь.

Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета.

Для частных лиц и предприятий (вредоносное приложение может получить доступ к отдельным данным, или проникнуть в предприятия) опасность достаточно велика, тем более,...

0 0
4
Содержание:
1. Введение;
2. Пара слов о безопасности и инструменты для анализа;
3. Динамический анализ;
4. Какие бывают уязвимости (Вы читаете данный раздел);
5. SQLite-inj в приложении.
На данный момент известны и эксплуатируются уязвимости, знакомые тем, кто занимается пентестом веб-сервисов:
• XSS — «межсайтовый скриптинг», то есть выполнение произвольного javascript,
в данном случае в рамках приложения;
• UXSS—«универсальный межсайтовый скриптинг», выполнение javascript на любой открытой странице;
• SQL-инъекции — возможность внедрения своего кода в SQL-запрос;
• Spoofing — подмена ответов сервера.

Далее рассмотрим каждую уязвимость.

ТИП 1. XSS В ПРИЛОЖЕНИИ
Огромную опасность представляет XSS в приложениях. Например, если в приложении с помощью компонента WebView() включен javascript, то мы можем выполнить вредоносный код, который позволит получить со смарт-фона приватные данные. В качестве примера можно...

0 0
5

16 августа 2015

Беседка №51: 5 серьезных уязвимостей Android

Илья Субботин

Facebook

Twitter

Вконтакте

Google+

Краткое описание самых весомых «дыр» в операционной системе от Google, затронувшей её в период с прошлого лета.

TowelRoot, фьютекс Linux

Первое публичное упоминание: июнь 2014.
Степень опасности: 2/5.
Затронутые версии: большинство телефонов на базе Android до 4.4
Актуальность: устройства, получившие обновления после июня 2014 года вне опасности.

Необычная уязвимость на уровне ядра, которая затрагивает подсистему фьютекса, была изначально открыта и предъявлена общественности «белым хакером», известным как Pinkie Pie. Как бы то ни было, вскоре после этого уязвимость была включена в TowelRoot — приложение от известного хакера Джорджа Хотца для получения root-доступа к аппаратам Android 4.4, в котором...

0 0
6

За последнее время в разных версиях Android найдено значительное количество уязвимостей, включая пресловутый Heartbleed. По разным причинам, многие пользователи до сих пор не установили патчи для устранения этих опасных багов. Это можно понять: производители часто «забывают» о поддержке старого оборудования, направляя все силы на выпуск новых моделей.

Чтобы проверить наличие уязвимостей в устройствах, работающих на старых версиях Android, компания Bluebox выпустила приложение Bluebox Security Scanner, бесплатно доступное в Google Play. Недавно вышла новая версия 1.9.

Bluebox Security Scanner в данный момент определяет наличие четырёх уязвимостей: 8219321, 9695860, 10145349 и 13678484. Первые три касаются процесса верификации цифровых сертификатов для устанавливаемых приложений (баг Masterkey). Сканер проверит наличие установленных приложений, которые эксплуатируют указанный баг.

Самая опасная — уязвимость 13678484 (FakeID). Она допускает установку...

0 0
7

Самые востребованные уязвимости

Среди свежих уязвимостей, обнаруженных в 2015 году, чаще других использовалась ошибка CVE-2015-1701 в Windows. О ней стало известно после отчета FireEye о целевой атаке, в ходе которой группа APT28 пыталась заполучить данные о санкциях в отношении России. Пользователю присылалась ссылка на зараженный сайт, откуда на компьютер через флеш-уязвимость CVE-2015-3043 подгружался исполняемый файл, а он уже с помощью CVE-2015-1701 в Windows получал повышенные привилегии в системе.

На втором месте (10%) находится уязвимость CVE-2015-2331 в PHP, связанная с ошибкой при обработке ZIP-архивов. Удаленный пользователь может вызвать целочисленное переполнение памяти и выполнить произвольный код на целевой системе.

Повышение привилегий в Windows – маст хэв для эксплойтов, но в целом уязвимости Adobe Flash доминируют. Третье, четвертое и пятое места держат уязвимости CVE-2015-5119, CVE-2015-0311, CVE2015-5122 – они часто используются для проведения...

0 0