Nowy skuteczny atak na urządzenia mobilne

| Bezpieczenstwo IT
HTC

Specjaliści z University of California odkryli błąd, który pozwala na zdobycie poufnych informacji użytkowników systemów mobilnych. Dziura prawdopodobnie istnieje w Androidzie, Windows oraz iOS-ie. Eksperci zademonstrowali ją na urządzeniu z Androidem.

Jak zapewniają specjaliści, luka pozwala na łatwe dokonanie włamań do 6 z 7 testowanych aplikacji. Bez większego programu można zaatakować Gmail, CHASE Bank oraz H&R Block. Odsetek skutecznych ataków wynosi 83% do 92%. Jedyną aplikacją, która sprawiła badaczom trudności był Amazon. W jego wypadku odsetek udanych ataków wynosił 48%.

Atak polega na nakłonieniu użytkownika do pobrania rzekomo nieszkodliwego programu, takiej jak np. tapeta na telefon. Gdy zostanie ona zainstalowana, napastnik może zaatakować współdzielone obszary pamięci, to których można dostać się bez uwierzytelniania. Obszary te może monitorować i łączyć dokonywane w nich zmiany z aktywnością użytkownika, taką jak logowanie się czy wykonywanie zdjęć. Śledzenie odbywa się na bieżąco, a warunkiem udanego ataku jest przeprowadzenie go w momencie, gdy użytkownik wykonuje czynność, którą napastnik może wykorzystać. Architektura Androida pozwala na przechwytywanie aplikacji. Podstawowy problem tkwi w tym, że trzeba tego dokonać we właściwym czasie, by użytkownik niczego nie zauważył. Nam się to udało i to właśnie czyni nasz atak wyjątkowym - mówi Zhiyun Qian.

Testowane aplikacje i odsetek udanych ataków to: Gmail (92%), H&R Block (92%), Newegg (86%), WebMD (85%), CHASE Bank (83%), Hotels.com (83%) oraz Amazon (48%).

Eksperci uważają, że ich atak powinien działać też na Windows oraz iOS-ie, gdyż wykorzystują podobne mechanizmy co Android.

atak dane Android Windows iOS