Уязвимость Clickjacking поражает устройства на Android 4.4

Уязвимости и эксплойты Android появляются постоянно. Некоторые могут быть довольно безобидными, а некоторые, как Heartbleed и Stagefright, ужасают, поскольку могут быть разрушительными.

Уязвимость Clickjacking поражает устройства на Android 4.4

Эксплойты часто попадают в устройства из приложений, которые незаконно скачаны через неофициальные магазины. Новейшая уязвимость, найденная исследовательской лабораторией Skycure, поражает устройства, что работают под управлением операционной системы Android 4.4 и старше.

Уязвимость использует Clickjacking, где нажатие в приложении открывает доступ к скрытым функциям. В данном случае, он использует доступ к настройкам Android, чтобы получить контроль над системой и контролировать всё, что происходит на устройстве.

В демонстрации показаной ниже, SkyCure показывает игру, основанную на шоу Рик и Морти. В игре, пользователи касаются постоянно появляющегося символа. При этом, они касаются ярлыка, что позволит приложению получить привилегии в качестве администратора устройства.

После этого они демонстрируют сообщение, что набирается в приложении Gmail с помощью удалённой клавиатуры. С такой привилегией, конечно, эксплойт может получить гораздо больший контроль над вашим устройством, чем то, что вы видите.

Для устройств на Android 5.0 Lollipop уязвимость не представляет угрозы, но операционная система Android 4.4 KitKat по-прежнему широко распространена, даже на абсолютно новых устройстввх в низком ценовом сегменте.

Если вы подозреваете, что ваша система была скомпрометирована этим эксплойтом, проверьте ваши настройки безопасности; пункт администраторов устройства покажет любые приложения, которые имеют такие разрешения.

Источник: Android Headlines