Специалисты компании Check Point выявили серьезный «косяк» в популярных андроид-приложениях. Место его расположения – Play Core Library (хранилище гугловских кодов, имеющее отношение к процессу обновления приложений для различных девайсов).
Упомянутый баг был рассекречен несколько месяцев назад. Его суть – предоставление уже установленному приложению возможности манипулировать с кодами других приложений через Play Core Library. Для незаконного вмешательства используется directory traversal – уязвимость, позволяющая сторонним источникам копировать файлы в зарезервированные под доверенный код Google Play папки. Это разрушало базовую андроид-защиту приложений от проникновения сторонних программ.
Технари «Гугла» закрыли упомянутый баг в хранилище и настоятельно порекомендовали пользователям залить новейшую версию Play Core Library. Однако ряд абонентов следовать этому совету не стал.
В результате, по словам специалистов компании, злоумышленники продолжают внедрять коды в банковские приложения, перехватывая тем самым коды 2-факторной авторизации.
Другими последствиями для отказавшихся следовать рекомендации названы
Для того, чтобы ни у кого не возникало сомнений в реалистичности приведенной информации, сотрудники Check Point использовали вредоносное приложение для кражи куков авторизации из устаревшей версии «Хрома» и использовали их для взлома аккаунта Dropbox.
Общее количество выявленных приложений с уязвимостью – почти полтора десятка (включая PowerDirector, XRecorder и Edge). Число загрузивших их пользователей – без малого 850 млн. Упомянутые выше программы с багом внутри были загружены не менее 160 млн раз, говорится в отчете.
"Сяомі" озвучила назви перших одержувачів HyperOS на базі Android 15 Beta 2. До відповідного списку…
«Сяоми» озвучила названия первых получателей HyperOS на базе Android 15 Beta 2. В соответствующий список…
Застосунок Google Wallet, який використовується для швидкої та зручної оплати за допомогою платіжних карток, з…
Приложение Google Wallet, используемое для быстрой и удобной оплаты с помощью платежных карт, с июня-2024…
"Дія" приросла е-посвідченнями ветеранів. Бета-тестування послуги стартувало напередодні, проінформував глава Мінцифри у своєму тг-каналі. Подробиці…
"Дія" приросла е-удостоверениями ветеранов. Бета-тестирование услуги стартовало накануне, проинформировал глава Минцифры в своем тг-канале. Подробности…