Positive Technologies kompaniyasi Android’da uzoq vaqtdan beri mavjud bo‘lgan xavfli zaiflikni aniqladi.
Hujumchilar smartfondagi brauzer tarixidan tortib, tezkor xabar almashish va bank ilovalari sessiyalarigacha bo’lgan maxfiy ma’lumotlarga kirish huquqiga ega bo’lishlari mumkin.
Positive Technologies mutaxassisi Sergey Toshin Google Android operatsion tizimining joriy versiyalarida (7.0, 8.0, 9.0) va undan oldingi versiyalarida muhim zaiflikni aniqladi. Xato WebView komponentida topildi. U o’rnatilgan zararli ilovalar yoki tezkor ilovalar orqali Android foydalanuvchilarining maxfiy ma’lumotlariga kirish imkonini beradi. .
Hujumchilar smartfondagi maxfiy ma’lumotlarga [1] — brauzer tarixidan tortib, tezkor xabar almashish va bank ilovalari sessiyalarigacha kirishlari mumkin. Zaiflik endi Google Chrome 72 da tuzatildi. Foydalanuvchilarga qurilmalaridagi brauzer versiyasini tekshirish tavsiya etiladi.
Google mutaxassislari ushbu zaiflikning jiddiylik darajasini (CVE-2019-5765) yuqori deb baholamoqda.
«WebView komponenti bugungi kunda aksariyat Android mobil ilovalarida qo’llaniladi, shuning uchun unga qilingan hujumlar juda xavflidir», deb ta’kidlaydi Positive Technologies mobil ilovalar xavfsizligi bo’yicha tadqiqot guruhi mutaxassisi Sergey Toshin. Eng aniq hujum stsenariysi noaniq uchinchi tomon ilovalarini o’z ichiga oladi. Hujumchi ularga boshqa ilovalarning WebViews’dan ma’lumotlarni o’qish uchun zararli funksiyalarni qo’shishi mumkin, bu ularga brauzer tarixi, autentifikatsiya tokenlari va sarlavhalarini (ular juda keng tarqalgan autentifikatsiya usuli) va boshqa ma’lumotlarni ushlab qolish imkonini beradi. ».
WebView – bu veb-sahifalarni Android ilovalarida ko’rsatish imkonini beruvchi Android platformasi komponenti. Muammo WebView Android 4.4 dan boshlab qurilgan Chromium dvigatelida aniqlandi. Ushbu zaiflik Google Chrome, Samsung Internet va Yandex Browser kabi Chromium asosidagi mobil brauzerlar foydalanuvchilariga ham tahdid solmoqda.
Tezkor ilovalar texnologiyasi foydalanuvchilarga qurilmada ilovani o’rnatmasdan oldindan ko’rish imkonini beradi: brauzerdagi havolani bosgandan so’ng foydalanuvchi qurilmasiga faqat kichik bir fayl yuklab olinadi. Tezkor ilova hujumida, agar foydalanuvchi zararli tezkor ilovani o’z ichiga olgan havolani bossa, ma’lumotlarni ushlab qolish mumkin.
«Android 7.0 dan boshlab, WebView komponenti Google Chrome orqali amalga oshiriladi, shuning uchun zaiflikni tuzatish uchun siz shunchaki ushbu brauzerni yangilashingiz kerak», deb ta’kidlaydi Sergey Toshin. Androidning eski versiyalarida siz WebView komponentini Google Play yangilash tizimi orqali yangilashingiz kerak bo’ladi. Google xizmatlariga ega bo’lmagan qurilmalar foydalanuvchilari qurilma sotuvchisidan WebView yangilanishini kutishlari kerak bo’ladi. ».
[1] Smartfonlardan tashqari, boshqa Android qurilmalari ham zaif.
