14:01 12-11-2010
onk » Ошибка в Android позволяет устанавливать программы без ведома пользователя
http://www.opennet.ru/opennews/art.shtml?num=28627
В платформе Android найдена недоработка, позволяющая злоумышленнику молча установить приложение без необходимости совершения подтверждения операции со стороны пользователя. При установке программ в штатном режиме пользователю необходимо пройти несколько шагов, на одном из которых требуется подтвердить делегирования приложению прав доступа к таким функциям, как сеть, телефония, GPS, персональная информация и т.п.
Обнаруженная уязвимость позволяет обойти данные шаги и скрыть от пользователя не только использование в приложении расширенных функций, но и сам факт установки приложения. Суть проблемы связана с поддержкой во встроенном web-браузере функции установки пакетов программ (INSTALL_PACKAGES). По предварительным данным возможность добавлена только в телефонах компании HTC с целью автоматического обновления Flash-плагина. При наличии в браузере уязвимости (напирмер, такой как была найдена в прошивке Android 2.1) злоумышленники могут воспользоваться функцией INSTALL_PACKAGES для скрытой установки любого пакета, а не только для обновления Adobe Flash.
Кроме того, исследователь компьютерной безопасности Джон Оберхайд (Jon Oberheide), ранее указавший на возможность загрузки вредоносных программ в каталог Android Market, продемонстрировал еще один вид атаки, базирующейся на возможности генерации фиктивных параметров аутентификации для Android Market. В итоге исследователь загрузил в Android Market приложение "Angry Birds Bonus Levels", которое при своей установке молча инсталлировало три дополнительных программы ("Fake Toll Fraud", "Fake Contact Stealer" и "Fake Location Tracker"), которым были активированы привилегии отправки SMS. В настоящее время данные программы удалены из Android Market, но тревожит сам факт их появления там.
В платформе Android найдена недоработка, позволяющая злоумышленнику молча установить приложение без необходимости совершения подтверждения операции со стороны пользователя. При установке программ в штатном режиме пользователю необходимо пройти несколько шагов, на одном из которых требуется подтвердить делегирования приложению прав доступа к таким функциям, как сеть, телефония, GPS, персональная информация и т.п.
Обнаруженная уязвимость позволяет обойти данные шаги и скрыть от пользователя не только использование в приложении расширенных функций, но и сам факт установки приложения. Суть проблемы связана с поддержкой во встроенном web-браузере функции установки пакетов программ (INSTALL_PACKAGES). По предварительным данным возможность добавлена только в телефонах компании HTC с целью автоматического обновления Flash-плагина. При наличии в браузере уязвимости (напирмер, такой как была найдена в прошивке Android 2.1) злоумышленники могут воспользоваться функцией INSTALL_PACKAGES для скрытой установки любого пакета, а не только для обновления Adobe Flash.
Кроме того, исследователь компьютерной безопасности Джон Оберхайд (Jon Oberheide), ранее указавший на возможность загрузки вредоносных программ в каталог Android Market, продемонстрировал еще один вид атаки, базирующейся на возможности генерации фиктивных параметров аутентификации для Android Market. В итоге исследователь загрузил в Android Market приложение "Angry Birds Bonus Levels", которое при своей установке молча инсталлировало три дополнительных программы ("Fake Toll Fraud", "Fake Contact Stealer" и "Fake Location Tracker"), которым были активированы привилегии отправки SMS. В настоящее время данные программы удалены из Android Market, но тревожит сам факт их появления там.
14:48 04-10-2010
DeadMorozz » Основной облом с Google Maps
Интересная фигня наблюдается. Есть два основных игрока в нише карт для Андроида - Google Maps (программа установлена со старта) и Yandex Maps (ставится вручную, ибо рулит). Обе программы, по умолчанию, за своими картами лезут в инет. Но YM понимает, что мобильный интернет на территории xUSSR - это пока больше роскошь. И поэтому карты от Яндекса умеют сохранять просмотренные участки в кэш на карте SD, используя уже скачанное -- в том случае, если нет связи. GM - ничего не кэширует в принципе, но очень уж навязчиво лезет в инет. При этом, наглухо прекращает свою работу -- если выхода в онлайн не наблюдается.
Есть альтернативные движки, умеющие показывать заранее сформированные карты на основе GM, изначально заботливо сложенные им в кэш. Можно использовать Yandex Maps - они слегка уступают картам Google в детальности, но хороши в плане общей юзабельности. Можно поставить Brutus - злобный хак на базе GM -- умеющий все, но жутко стрёмный из-за своего происхождения.
Но большинство софта, обращающегося к картам на смартфоне (например, курсопрокладчики, сигнализаторы попадания в зону, бегомеры), запускают именно Google Maps - то, что стоит в системе по-умолчанию. А карты от Google, в свою очередь, без связи не работают - ибо уже просмотренное там не кэшируется.
Замкнутый круг.
Комментарии [4]