USB и Bluetooth аксессуары могут быть использованы для атаки на Android телефоны

Специалисты по кибербезопасности описали новый вид угроз, которым подвержены владельцы некоторых смартфонов на базе Android — с помощью модицифированных Bluetooth-аксессуаров, например, беспроводных наушников, злоумышленники получают доступ к телефону и личным данным жертвы.

Команда кибер-исследователей из Университета Айовы и Университета Пердью в США обнаружили опасную уязвимость, которая затрагивает некоторые Android-смартфоны.

Как оказалось, злоумышленник может легко взломать гаджет и получить ему доступ с помощью модицифированных Bluetooth- и USB-аксессуаров, например, беспроводных наушников, проводов для зарядки, VR-гарнитур и т.д.

В исследовании говорится о том, как некоторые популярные устройства на базе Android могут быть скомпрометированы, передавая в руки хакера практически все полномочия по управлению смартфоном. Ученые протестировали устройства Samsung, LG, HTC, Google, Motorola и Huawei, которые уже не являются флагманами, но все еще широко используются потребителями

Как оказалось, с помощью команд так называемого AT-интерфейса, передаваемых через модифицированные аксессуары, можно перевести смартфон на небезопасное соединение, после чего получить доступ к личным данным пользователя.

Дело в том, что некоторые гаджеты на базе Android добровольно передают Bluetooth- и USB-аксессуарам доступ к baseband-процессору, ответственному за связь. Этот процессор имеет настолько важное значение, что многим приложениям на смартфоне запрещено каким бы то ни было образом с ним контактировать, чтобы не влиять на его настройки. Однако, беспроводные наушники или смарт-очки по необъяснимой причине получают преимущество перед всей остальной системой.

Экспертам из американских университетов удалось таким образом перехватить IMEI взломанного устройства, который потенциально можно использовать для идентификации его владельца. Кроме того, они смогли осуществить DoS-атаку, отключить интернет-соединение, а также включить функцию переадресации входящих вызовов, блокировку звонков и другие.

«Последствия этих атак варьируются до кражи конфиденциальной информации до полного прекращения работы гаджета», — пишут авторы исследования Сид Рафиул Хуссейн и Имтяз Карим.

В ходе исследования были обнаружены 14 команд, которые могут скомпрометировать персональные данные пользователя. Сообщается, что стандартные AT-команды находятся в общем доступе, и при желании их можно легко найти, чтобы осуществить атаку на конкретного человека.

Известно, что не все протестированные смартфоны оказались подвержены этой уязвимости, но в зоне риска находятся как минимум Pixel 2 от Google, Nexus 6P от Huawei и Samsung’s Galaxy S8+.

Своей работой исследователи намеревались привлечь внимание пользователей к опасной уязвимости, которая может грозить полной потерей личных данных — для этого лишь требуется воспользоваться зараженным ранее Bluetooth- или USB-устройством. Несмотря на то, что вендорам уже было отправлено оповещение, призывающее исправить уязвимость как можно скорее, необходимо соблюдать предосторожность, так как на патч может потребоваться время.

Эксперты рекомендуют не пользоваться чужими устройствами, например, проводами для зарядки в местах публичного пользования, так как они могут быть взломаны злоумышленниками, чтобы впоследствии получить доступ к вашему гаджету.

На прошлой неделе зарубежные СМИ сообщили о другой уязвимости — на этот раз она затронула пользователей устройств на базе операционной системы iOS. Как оказалось, приложение Facebook для смартфона тайно включало камеру при просмотре пользователем ленты новостей.

Одним из тех, кто первым заметил данную уязвимость стал веб-дизайнер Джошуа Мэддакс, рассказавших о своем открытие в Twitter-аккаунте. Он отметил, что сначала решил, что открыл камеру по ошибке, но затем, когда баг появился вновь, понял, что это не совпадение.

Отмечается, что эта особенность не проявляется на гаджетах Android и касается только устройств Apple.

В компании Facebook заявили о том, что знают о проблеме, добавив, что баг появился «непреднамеренно». Разработчики приложения уже выпустили патч, исправляющий эту проблему. Как заявили в компании, нет никаких оснований полагать, что кто-то успел воспользоваться этой уязвимостью для слива личных фотографий или видео.

USB и Bluetooth-аксессуары могут использовать для слежки за пользователями Android

К тому, что на гаджетах под управлением Android регулярно появляются вирусы и разного рода уязвимости, которые позволяют хакерам и другим нечистым на руку людям выкрасть ваши персональные данные, мы уже давно привыкли. Однако не так давно группа исследователей, занимающихся вопросами кибербезопасности, обнаружила эксплойт, позволяющий Bluetooth и USB-аксессуарам получить доступ к некоторым параметрам смартфона, что дает им возможность следить за пользователями.

Кто бы мог подумать, что смартфон можно взломать при помощи наушников?

Как взломать смартфон по Bluetooth и USB

В обоих случаях «входной дверью» является модем смартфона. По словам исследователей, этот эксплойт возможен из-за того, что некоторые Android-смартфоны позволяют Bluetooth и USB-аксессуарам, таким как наушники, общаться к модему устройства, чего обычно невозможно добиться при помощи других вариантов взлома. Например, при помощи вирусов.

После того, как телефон был скомпрометирован, злоумышленник может вызвать несколько видов сбоев: полная блокировка всех входящих телефонных звонков, выборочная блокировка вызовов, переадресация вызова на другой номер, отключение сотового подключения к интернету, перехват телефонных звонков и текстовых сообщений, а также отслеживание местоположения владельца и его активности.

Но как это получилось? Прошивка модемов, которая должна исключительно принимать специальные команды (называемые командами AT), была обманута хакерским приложением ATFuzzer, разработанным специально для этих целей. Так что не волнуйтесь. Пока что вы в безопасности. Используя ATFuzzer, специалисты обнаружили 14 команд, которые работали на 10 различных смартфонах Android от шести разных поставщиков. Причем программу легко можно встроить во внутренне ПО аксессуаров. Ничего скачивать с интернета даже не придется.

В некоторых случаях последствия были незначительными — например, на Nexus 5 и Pixel 2 можно было отключить интернет. Наихудший сценарий использования программы был продемонстрирован на трех смартфонах от Samsung — Galaxy Note 2, Galaxy S3 и Galaxy S8+. После установки ATFuzzer, со смартфонов можно было выкрасть их IMEI-адреса, заблокировать все телефонные звонки и текстовые сообщения, а также перехватывать их. Ну и не забываем о том, что отслеживать местоположение также можно было без труда.

Исследовательская группа говорит, что причиной тому является неспособность процессоров модемов правильно анализировать и отфильтровывать аномальные команды. И единственный способ оградиться от этого типа атаки — полностью удалить доступ Bluetooth и USB к модему. Но для этого нужно «перелопатить» весь код прошивки смартфона.

К счастью, нет худа без добра. Поскольку эксплойт работает через беспроводное соединение Bluetooth или физическое USB, владельцы Android могут легко избежать этой ситуации, не подключая свои смартфоны к подозрительным или неизвестным аксессуарам, таким как зарядные станции, часто встречающиеся в торговых центрах или кафе. За исключением Galaxy S8+ и Pixel 2 (которым около двух лет), остальные пострадавшие телефоны довольно старые. Но если вы случайно владеете таким аппаратом или знаете кого—то, кто все еще использует эти старые устройства, то расскажите им об этом и порекомендуйте подписаться на наш Телеграм-канал, чтобы они первыми узнавали самые важные новости.

Что касается производителей устройств, упомянутых в исследовании, то все они были уведомлены об уязвимостях. В ответ на запрос TechCrunch, например, Samsung заявила, что соответствующие патчи будут выпущены «в самое ближайшее время». Google ответили примерно то же самое, а вот Huawei не стала комментировать ситуацию.

Самые распространенные взломы Bluetooth. Насколько он безопасен? Как сделать Bluetooth более безопасным?

Мы окружены Bluetooth-устройствами: фитнес-трекеры, наушники, колонки и смарт-приборы. Они делятся данными друг с другом через интернет, а там, где есть данные, всегда будут хакеры, пытающиеся их украсть.

  1. Самые распространенные взломы Bluetooth
  2. Кое-что еще:
  3. Насколько безопасен Bluetooth?
  4. Как сделать Bluetooth более безопасным?

Самые распространенные взломы Bluetooth

Bluetooth существует уже несколько десятилетий, поэтому хакеры нашли множество способов, чтобы злоупотреблять им. Вот три наиболее известные и распространенные Bluetooth-атаки:

  • Bluejacking – это атака, во время которой хакер использует Bluetooth-соединение для проникновения в телефон и отправки анонимных сообщений на другие близлежащие устройства. Хакеры также могут использовать его для совершения международных и дорогостоящих звонков с поминутной оплатой.
  • Bluesnarfing – это атака, при которой хакер крадет информацию на вашем телефоне, включая электронную почту, смс, фотографии, видео и телефонную книгу. Хакер должен загрузить всю эту информацию достаточно быстро – пока вы находитесь в пределах досягаемости.
  • Bluebugging – самая худшая атака, т.к. позволяет хакеру полностью контролировать ваше устройство. Она дает ему возможность прослушивать ваши разговоры и получать доступ ко всем данным, хранящимся на вашем устройстве.

Если хакеру удастся проникнуть в ваш смартфон, он может получить много конфиденциальной информации о вас. Впоследствии это может быть использовано в атаках социальной инженерии, для шантажа или для взлома вашего банковского и других аккаунтов. Но самое худшее в атаках Bluetooth это то, что злоумышленники каждый год находят новые способы использования Bluetooth-соединения для своих черных дел.

На видео: Взлом Bluetooth устройств : BlueBorne, CarWhisperer, DDoS

Кое-что еще:

  • Bluetooth показывает ваше местоположение

Хакеры могут использовать Bluetooth для отслеживания вашего местоположения. Для этого им понадобятся только две вещи: устройство, которое постоянно использует Bluetooth и уникальный идентификатор устройства. Как это работает?
Два устройства, которые соединяются через Bluetooth, распознают друг друга, обмениваясь информацией, которую можно рассматривать как адрес. Большинство устройств регулярно меняют его, например, когда соединение восстанавливается или когда разряжаются батареи. Но некоторые устройства, такие как фитнес-трекеры, сохраняют один и тот же адрес, несмотря ни на что. Хакеры могут использовать его в качестве уникального идентификатора. Хуже того, такие устройства постоянно передают этот сигнал, чтобы оставаться на связи с телефоном и предоставлять точные результаты в режиме реального времени.

  • Шифрование Bluetooth можно легко взломать

Два устройства, соединяющиеся через Bluetooth, должны обмениваться криптографическими ключами для установления безопасного соединения. Но не все устройства поддерживают длинные и безопасные ключи шифрования. Поэтому им необходимо “поговорить” друг с другом, чтобы определиться с длиной ключа. Хакеры перехватывают этот процесс и заставляют одно из устройств “предложить” использовать слабый ключ шифрования, который может быть короче 1 байта. Как только такое соединение будет установлено, хакер сможет использовать простую “атаку грубой силы”, чтобы взломать шифрование и начать наблюдать за трафиком, которым обмениваются устройства.

  • Отказ в обслуживании (DOS)

Хакеры также могут использовать Bluetooth, чтобы вызвать отказ в обслуживании. Они могут вывести из строя устройство, заблокировать смартфон от приема или совершения звонков, разрядить аккумулятор и украсть ваши данные.

  • Приложения могут использовать Bluetooth в злонамеренных целях

Приложения на вашем телефоне могут также тайно использовать соединение Bluetooth для сбора данных и отслеживания вашего местоположения.

На видео: Взлом Bluetooth через телефон без рут прав или как достать соседей

Насколько безопасен Bluetooth?

Если у Bluetooth так много уязвимостей, почему мы все еще используем его? В основном потому, что взлом Bluetooth не так часто встречается в реальной жизни. Почему?

  • Для использования вашего Bluetooth-соединения, хакер должен находиться в непосредственной близости и успеть получить результаты до того, как вы выйдете из него;
  • Атаки Bluetooth требуют глубоких технических знаний, а иногда и ресурсов, таких как деньги и специальное оборудование. Поэтому хакеру будет проще выбрать другой метод для взлома;
  • Результаты могут оказаться не столь плодотворными. Да, если хакер залезет в ваш телефон, он сможет получить о вас много информации. Но, возможно, и нет.

Как атакуют мобильные приложения

Современные мобильные устройства чрезвычайно сложны и многофункциональны, что позволяет нам держать на кончиках пальцев практически все наши дела. Многие уже не представляют себе, как можно провести день без смартфона: «В нем вся моя жизнь. »

Однако такая сложность создает среди прочего обширную поверхность атаки. Для взлома вашего смартфона может быть использовано буквально все — от Wi-Fi и Bluetooth до динамика и микрофона.

В этой статье мы рассмотрим некоторые возможные сценарии атак на мобильные устройства и приложения, которые могут привести к компрометации данных и финансовым потерям.

Как работают мобильные устройства

Работа мобильных устройств — смартфонов или планшетов — во многом схожа с работой настольных компьютеров и ноутбуков. Почти всем на устройстве управляет операционная система. Имеет смысл рассмотреть только самые популярные — Android и iOS. Операционной системе, помимо памяти и процессора, доступны периферийные устройства: камера, микрофон, модуль Wi-Fi и прочее. Также на некоторых современных устройствах присутствуют изолированные от основной ОС компоненты, используемые для биометрической аутентификации, хранения криптографических ключей и выполнения криптографических операций, такие как secure enclave, secure element, trusted execution environment. Наконец, ОС обеспечивает среду функционирования клиентских приложений, которые устанавливает пользователь.

Как работают мобильные приложения

В отличие от десктопных систем, в Android и iOS каждое приложение изолировано. В Android каждое приложение представлено отдельным пользователем, а в iOS приложения помещены в контейнеры. Доступ к памяти между разными приложениями запрещен на уровне ОС. Как в Android, так и в iOS разные приложения в стандартных условиях не могут иметь доступа к хранимым данным друг друга. Разработчики должны явно реализовывать механизмы для доступа других приложений к собственным данным, например для передачи PDF-документа в мессенджер или для передачи изображения в фоторедактор. В Android есть особый каталог с общим доступом — /sdcard. Любое приложение может записывать, читать и изменять любые файлы в этом каталоге.

Сценарии атак с физическим доступом

Физический доступ к мобильному устройству злоумышленники могут получить, просто отняв или подобрав устройство. Также под подозрение могут попасть «левые» сервисы починки смартфонов.

Что может злоумышленник при физическом доступе к устройству

Получив в руки смартфон или планшет и разблокировав его, злоумышленник получает авторизованный доступ почти ко всем приложениям, установленным на устройстве: к контактам, галерее, почте, браузеру, мессенджерам, социальным сетям, интернет-магазинам, банковским приложениям. Исключение составят только те приложения, которые реализуют дополнительную аутентификацию на этот случай: ввод логина и пароля, ПИН-кода или использование биометрии. Однако наши исследования показывают, что недостатки аутентификации и авторизации составляют треть всех уязвимостей в клиентских частях мобильных приложений, выявленных в 2019 году.

Злоумышленник может пойти дальше и попытаться повысить свои привилегии на устройстве — получить права root на Android или выполнить jailbreak в iOS. Некоторые эксплойты позволяют злоумышленнику, не зная ПИН-кода устройства, получить такие привилегии, а значит — получить неограниченный доступ ко всему смартфону, ко всей хранимой информации. В некоторых случаях root или jailbreak позволят злоумышленнику войти в ваш банковский аккаунт, даже если вход был защищен ПИН-кодом или биометрией.

Что облегчит жизнь злоумышленнику, который получил физический доступ к вашему устройству:

  • наличие прав root (для Android-смартфонов) или jailbreak (для iOS-смартфонов);
  • отсутствие ПИН-кода;
  • включенная отладка по USB (для Android-смартфонов);
  • включенный голосовой помощник;
  • включенные уведомления на заблокированном экране.

Как защититься

В первую очередь, будьте внимательны и не оставляйте смартфон и планшет без присмотра в общественных местах. Обязательно установите пароль для разблокировки устройства или включите биометрическую защиту, если это возможно. Не повышайте привилегии до административных (root или jailbreak), отключите отображение уведомлений на заблокированном экране.

Сценарии атак с использованием вредоносного приложения

Как вредоносы попадают на устройство

Есть несколько источников троянских приложений:

  • Официальные магазины — Google Play и App Store. Редко, но даже в официальных маркетах можно найти вредоносное приложение, которое может нанести ущерб вам и вашим данным. Часто такие приложения стараются привлекать внимание с помощью громких названий типа Super Battery, Turbo Browser или Virus Cleaner 2020.
  • Неофициальные сайты и магазины приложений (third-party app store). Для Android-устройств достаточно разрешить установку из недоверенных источников, а затем скачать APK-файл приложения с сайта. Для iOS-устройств достаточно перейти по ссылке в браузере Safari, подтвердить установку сертификата на устройство, после чего любое приложение в неофициальном магазине станет доступно для установки прямо из браузера. Этим способом может воспользоваться вредоносный Wi-Fi-роутер, чтобы вынудить пользователя установить приложение, прежде чем ему будет предоставлен доступ в сеть.
  • Пользователь может установить скачанное из интернета приложение с помощью USB-подключения. Для этого он может использовать команду adb install для Android-смартфона или утилиту Cydia Impactor совместно со своей учетной записью iCloud — для iOS-устройства. Нередко таким образом на устройства попадают трояны, обещающие получение прав root или jailbreak.
  • Для Android-устройств доступна возможность загрузки части приложения при переходе по ссылке (технология Google Play Instant). В этом случае вредоносное приложение, если оно осталось незамеченным в Google Play, сможет попасть на устройство в один клик, хотя и будет иметь чуть меньшие привилегии по сравнению с полноценными приложениями.

Возможности вредоносов на устройстве

Прежде всего, вредоносы, как и обычные приложения, в зависимости от полученных разрешений будут иметь доступ к некоторым хранимым данным, микрофону, камере, геопозиции или контактам.

Также вредоносные приложения получают возможность взаимодействовать с другими установленными приложениями через механизмы межпроцессного взаимодействия (IPC/XPC). Если установленные приложения содержат уязвимости, которые можно эксплуатировать через такое взаимодействие, вредоносное приложение сможет этим воспользоваться. Это особенно актуально для Android-устройств.

Попав на устройство, вредоносное приложение может попытаться получить повышенные привилегии в системе, эксплуатируя уязвимости, позволяющие получить права root или jailbreak. В этом случае троян сможет не только беспрепятственно читать любые данные на устройстве, внедряться в любой процесс и модифицировать его исполнение, но и эффективно защищать себя от удаления.

Как защититься

Для защиты от подобных атак рекомендуется в первую очередь избегать установки приложений из недоверенных источников. С осторожностью необходимо устанавливать также приложения с подозрительными названиями даже из официальных магазинов, поскольку никакие проверки, организованные администрацией этих магазинов, не могут работать идеально. Своевременно обновляйте ОС и приложения, чтобы исключить возможность атак через известные уязвимости.

Атаки в канале связи

Подключившись к недоверенному Wi-Fi, прокси-серверу или VPN, мы становимся уязвимыми для атак, осуществляемых через канал связи. В этом случае под угрозой будут все передаваемые данные, как от вашего устройства, так и от сервера, к которому оно в данный момент обращается.

Уязвимости приложений

Для того чтобы злоумышленник смог действовать из канала связи, ему необходимо выполнить атаку «человек посередине», то есть заставить весь трафик, передаваемый между клиентским мобильным приложением и серверной частью, проходить через устройство злоумышленника. Если защита от подобных атак реализована корректно, то опасаться нечего. Однако наш опыт показывает, что в приложениях часто встречаются уязвимости, которые могут быть использованы злоумышленником для атаки типа «человек посередине».

Обычно при установке защищенного соединения клиентское приложение проверяет подлинность сертификата сервера. Однако разработчики для удобства отключают такие проверки, забывая включить их обратно в релизной версии. Как итог, приложение принимает любой сертификат сервера для установки защищенного соединения, в том числе и сертификат злоумышленника. В результате атакующему становится доступен для чтения и изменения весь трафик, передаваемый между клиентским приложением и серверной частью приложения.

Даже если проверка сертификатов происходит корректно, остается другая лазейка: под каким-нибудь предлогом вынудить жертву установить на свое устройство сертификат злоумышленника как доверенный. После этого клиентское приложение может не заметить подмены сертификата при установке защищенного соединения. Для того чтобы замечать такую подмену, в приложение зашивается сертификат сервера, это называется certificate pinning. Однако данная технология может использоваться не во всех компонентах, требующих защищенного соединения с сервером. В результате злоумышленник может получить возможность контролировать весь трафик либо его часть между клиентским приложением и сервером. Кстати, в 29% мобильных приложений в 2019 году была некорректно реализована либо отсутствовала технология certificate pinning.

Приложение может безопасно реализовывать собственное взаимодействие с сервером, но при этом содержать ссылки на сторонние ресурсы, которые при открытии будут загружены по незащищенному протоколу HTTP. Это оставляет злоумышленнику, контролирующему трафик, возможность для фишинга.

Возможности атакующего

Контролируя трафик между клиентским приложением и сервером, атакующий имеет следующие возможности:

  • подменять ответы сервера, например для подмены реквизитов банковских операций или для фишинговой атаки;
  • подменять запросы клиентского приложения, например изменяя сумму перевода и номер счета получателя;
  • перехватывать данные, например логины, пароли, одноразовые пароли, данные банковских карт, историю операций.

Как правило, последствия таких атак довольно серьезные. Главные из них — получение злоумышленником доступа к важным аккаунтам, кража средств в результате подмены реквизитов, а также кража информации, например об истории операций и состоянии счетов, в результате пассивного прослушивания трафика.

Как защититься

Не подключайтесь к сомнительным точкам доступа, не используйте прокси-серверы и VPN, которым вы не готовы доверить свою личную и банковскую информацию. Не устанавливайте сторонние сертификаты на устройство. Как правило, большинство популярных мессенджеров и приложений соцсетей хорошо защищены от подобных атак. Если, например, какое-то из привычных приложений вдруг отказывается работать через текущее Wi-Fi-подключение, это может быть сигналом того, что данная точка доступа небезопасна и лучше от нее отключиться, чтобы не подвергать опасности остальные приложения, в том числе ваш мобильный банк.

Удаленные атаки

Некоторые уязвимости в мобильных приложениях можно эксплуатировать удаленно, и для этого даже не требуется контролировать передачу данных между приложением и сервером.

Во многих приложениях реализована функция обработки специальных ссылок, например myapp://. Такие ссылки называются deep links, и работают они как на устройствах с Android, так и на iOS-устройствах. Переход по такой ссылке в браузере, почтовом приложении или мессенджере может спровоцировать открытие того приложения, которое умеет такие ссылки обрабатывать. Вся ссылка целиком, включая параметры, будет передана приложению-обработчику. Если обработчик ссылки имеет уязвимости, то для их эксплуатации этого будет достаточно. По нашим данным, треть мобильных приложений некорректно обрабатывают ссылки. Результат эксплуатации сильно зависит от логики приложения: это может быть как относительно безобидное действие от имени пользователя, так и получение полного доступа к его аккаунту.

Аналогичным образом в мобильных устройствах могут обрабатываться более привычные ссылки http:// и https://. Они могут быть переданы приложению, не являющемуся браузером, причем в некоторых случаях это может происходить без подтверждения со стороны пользователя.

Для Android-устройств переход по ссылке может спровоцировать загрузку instant app, что делает возможной удаленную эксплуатацию уязвимостей, связанных с установкой вредоносного приложения.

Однако в мобильных приложениях встречаются не только уязвимости, связанные с обработкой ссылок. Конечно же, все сильно зависит от логики, которую реализует мобильное приложение. В некоторых случаях от пользователя не требуется никаких действий — так работают zero-click-эксплойты. Примером уязвимости, для которой был разработан подобный эксплойт, может служить уязвимость WhatsApp, в которой функциональность звонков использовалась для загрузки и установки вредоносов на устройство жертвы.

Как защититься

Своевременная установка обновлений приложений и ОС — единственный в данном случае способ защититься.

Атаки на серверную часть

Злоумышленники могут атаковать и серверную часть мобильного приложения. В этом случае им совершенно не нужен доступ к устройствам пользователей. Зачастую серверная часть мобильного приложения ничем не отличается от веб-приложения. Обычно серверы мобильных приложений устроены даже проще и представляют собой JSON API или XML API, редко работают с HTML-разметкой и JavaScript. Для атаки на такой сервер злоумышленнику, как правило, достаточно изучить, как происходит взаимодействие клиентского приложения с сервером, и уже исходя из собранной информации о точках входа попытаться видоизменять запросы с целью обнаружить и эксплуатировать уязвимости.

Если сравнивать уязвимости веб-приложений и серверных частей мобильных приложений, то мы видим, что в мобильных приложениях преобладают недостаточная защита от подбора учетных данных (24% веб-приложений и 58% серверов мобильных приложений содержат такие уязвимости) и ошибки бизнес-логики (2% веб-приложений и 33% серверов мобильных приложений).

Наши исследования показывают, что часто имеется возможность получить доступ к данным пользователей — например, номерам банковских карт, имени и фамилии, номерам телефонов — от имени другого пользователя или вовсе без аутентификации. Такая возможность бывает обусловлена недостатками аутентификации и авторизации.

Как защититься

В данном случае обычный пользователь мало что может сделать. Однако можно снизить риски, если использовать сложный пароль, а также если настроить двухфакторную аутентификацию с помощью одноразовых паролей во всех критически важных приложениях, которые позволяют это сделать.

Выводы и рекомендации

Как мы видим, злоумышленники могут атаковать мобильные приложения и устройства по многим направлениям. При разработке приложения необходимо проверять возможность осуществления каждого из описанных сценариев атак. Угрозы и уязвимости необходимо учитывать во время разработки, а некоторые необходимые меры защиты — принимать еще на стадии проектирования. В особенности это касается финансовых приложений, личных кабинетов, мессенджеров, а также прочих приложений, работающих с персональными данными, банковскими картами, личной или рабочей перепиской и другой подобной информацией. Хорошей рекомендацией для разработчиков будет внедрение практики безопасной разработки (secure software development lifecycle, SSDL) и регулярного анализа защищенности приложения. Такие меры не только помогут своевременно выявить потенциальные угрозы, но и повысят уровень знаний разработчиков в вопросах безопасности и, как следствие, уровень защищенности разрабатываемых приложений.

В то же время, хотя на разработчиках лежит значительная ответственность по обеспечению безопасности приложений, добиться приемлемого уровня защищенности на мобильных устройствах возможно только принимая комплексные меры. Участие пользователя во многом может снизить риски, достаточно лишь придерживаться некоторых простых правил:

· не устанавливать сомнительные приложения и приложения из недоверенных источников;

· своевременно обновлять приложения и ОС устройства;

· не устанавливать недоверенные сертификаты;

· не подключаться к подозрительным точкам Wi-Fi, а также к прокси, VPN или к сомнительным устройствам по USB;

· не переходить по подозрительным ссылкам в браузере, мессенджерах и соцсетях;

· не получать права root и не выполнять jailbreak устройств;

· не отключать блокировку с помощью ПИН-кода;

· в приложениях по возможности использовать аутентификацию по логину и паролю вместо упрощенной (по ПИН-коду или с использованием биометрии);

В Android найдена новая критическая уязвимость, связанная с Bluetooth

Несмотря на постоянные попытки Google сделать операционную систему Android максимально защищённой, хакеры не теряют времени зря и находят всё новые и новые бреши в её безопасности. Очередная уязвимость связана с интерфейсом Bluetooth и может привести к серьёзным последствиям для владельца взломанного смартфона.

Уязвимость BlueFag позволяет хакерам в «тихом» режиме передать вредоносное ПО на смартфоны под управлением Android 8 Oreo и Android 9 Pie. При этом владелец устройства не получит никакого предупреждения о том, что на гаджет были отправлены какие-либо файлы.

Злоумышленнику достаточно узнать MAC-адрес Bluetooth-модуля устройства, который зачастую легко вычислить по MAC-адресу в сети Wi-Fi, поскольку производители смартфонов обычно используют единый модуль для обоих протоколов.

Специалисты компании ERNW, специализирующиеся на компьютерной безопасности, отметили, что уязвимость BlueFag не работает на смартфонах с ОС Android 10. Что касается версий «зелёного робота», вышедших до Android 8, то не исключено, что они также подвержены взлому.

Google пока не отреагировала на данную уязвимость, а специалисты ERNW лишь рекомендуют обновить смартфон до Android 10, либо, если гаджет гарантированно не получит апдейта, сменить его на новый.

Ссылка на основную публикацию