iPhone & iPad

Хакеры нашли способ взлома Gmail-приложения c вероятностью 92%

9
95

Команда американских исследователей выявила уязвимость в операционных системах iOS и Android, через которую можно с вероятностью в 92% взломать почту Gmail и другие популярные сервисы. Почтовая служба Google оказалась одной из самых легких мишеней среди тестируемых приложений.

gmail-hack-1

Авторы исследования – доцент Калифорнийского университета Чжиюнь Циань, доцент Университета Мичигана Чжоуцин Морли Мао и ее коллега аспирант Ци Альфред Чэнь. Ученые представили отчет на 23-м Симпозиуме USENIX по безопасности в Сан-Диего.

Ученые начали работать над этим методом, так как посчитали, что огромное число создаваемых сейчас приложений являются фактором риска для пользователей. Когда пользователь скачивает несколько разных приложений, они начинают работать в общей инфраструктуре, то есть в операционной системе смартфона.

«Всегда предполагалось, что эти приложения не могут легко взаимодействовать друг с другом. Мы демонстрируем, что это предположение ложное и одно приложение может существенно повлиять на другие и навредить пользователю», — заявил Циань.

Суть метода заключается в том, что пользователь устанавливает на свой смартфон безобидную на первый взгляд программу, например «обои» для экрана телефона. После того как приложение было установлено, исследователи смогли получить доступ к общей памяти смартфона, где хранится статистическая информация о процессах. Общая память – функция, позволяющая нескольким процессам в операционной системе обмениваться данными, и для доступа к ней не требуется каких-либо специальных прав.

Ученые отслеживают изменения в общей памяти и сопоставляют их с такими событиями, как вход в Gmail или съемка фотографии. Дополнив информацию об изменениях данными, полученными еще от нескольких источников, авторы исследования продемонстрировали, что возможно достаточно точно определить, какая информация из общей памяти относится к нужной программе.

На конференции специалисты продемонстрировали, как через выявленную уязвимость получить доступ к приложениям почтового сервиса Gmail с 92-процентной вероятностью успеха. Кроме того, они смогли перехватить фотографии из приложения Chase (83 процента), получить доступ к личным данным, включая адреса и номера социального страхования из приложений H&R Block (92 процента), Newegg (86 процентов) и WebMD (85 процентов).

Исследователи говорят, что метод будет работать не только на Android, но и на iOS и Windows Phone, так как у них совпадают необходимые для взлома функции.

9 комментариев

Написать комментарий