Несмотря на то, что уязвимость потенциально затрагивает около миллиарда устройств с Android, реализованный в последних версиях системы механизм рандомизации адресного пространства (address space layout randomization, ASLR) препятствовал созданию эффективных эксплоитов, ограничивая число потенциальных жертв пользователями версий 4.х (примерно 40 миллионов устройств, 4 процента от андроидного парка).

Целью разработки Metaphor как раз и стал обход механизма ASLR, что расширило множество уязвимых систем до версий 5.0 и 5.1. А это еще 23.5 процента или 235 миллионов устройств, среди которых названы Nexus 5, LG G3, HTC One и Samsung Galaxy S5. Все, что требуется от жертвы - попасть на страницу с подготовленным mp4-файлом. В демонстрационном ролике процесс захвата системы и передачи с нее критичной информации занял менее 20 секунд, в течение которых пользователь просматривал страницу с котиками.

Реальное число потенциальных жертв несколько меньше, поскольку Google все-таки периодически выпускает исправления обнаруженных уязвимостей (как раз полторы недели назад вышло крупное исправление 19 уязвимостей, включая и использованное в Metaphor). Проблема лишь в том, что до пользовательских устройств эти исправления добираются слишком медленно.

Источник: ZDNet

теги: android  |  предложить новость  |  обсудить  |  все отзывы (0)

[3498]

назад «  » вперед

аналогичные материалы Обход андроидной блокировки // 14.11.22 23:57 Очередная пачка исправлений в Android - пока только для Nexus // 05.04.16 12:48 Android 5: заходите, гости дорогие // 16.09.15 17:12 Третья подряд серьезная уязвимость в Android // 20.08.15 15:25 Еще одна уязвимость в Android, на этот раз под угрозой 55% устройств // 11.08.15 00:12 Уязвимости в мобильных клиентах АСУ ТП // 28.07.15 15:52 Уязвимость в Android ставит под удар почти миллиард пользователей // 27.07.15 21:40

последние новостиBugTraq.Ru: последние новости Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10 20 лет Ubuntu // 20.10.24 19:11 Tailscale окончательно забанила российские адреса // 02.10.24 18:54 Прекращение работы антивируса Касперского в США // 30.09.24 17:30 Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21 Облачнолазурное // 31.07.24 17:34 TeamViewer обвинил в своем взломе русских хакеров // 29.06.24 15:31