Несмотря на то, что уязвимость потенциально затрагивает около миллиарда устройств с Android, реализованный в последних версиях системы механизм рандомизации адресного пространства (address space layout randomization, ASLR) препятствовал созданию эффективных эксплоитов, ограничивая число потенциальных жертв пользователями версий 4.х (примерно 40 миллионов устройств, 4 процента от андроидного парка).

Целью разработки Metaphor как раз и стал обход механизма ASLR, что расширило множество уязвимых систем до версий 5.0 и 5.1. А это еще 23.5 процента или 235 миллионов устройств, среди которых названы Nexus 5, LG G3, HTC One и Samsung Galaxy S5. Все, что требуется от жертвы - попасть на страницу с подготовленным mp4-файлом. В демонстрационном ролике процесс захвата системы и передачи с нее критичной информации занял менее 20 секунд, в течение которых пользователь просматривал страницу с котиками.

Реальное число потенциальных жертв несколько меньше, поскольку Google все-таки периодически выпускает исправления обнаруженных уязвимостей (как раз полторы недели назад вышло крупное исправление 19 уязвимостей, включая и использованное в Metaphor). Проблема лишь в том, что до пользовательских устройств эти исправления добираются слишком медленно.

Источник: ZDNet

теги: android  |  предложить новость  |  обсудить  |  все отзывы (0)

[3361]

назад «  » вперед

аналогичные материалы Обход андроидной блокировки // 14.11.22 23:57 Очередная пачка исправлений в Android - пока только для Nexus // 05.04.16 12:48 Android 5: заходите, гости дорогие // 16.09.15 17:12 Третья подряд серьезная уязвимость в Android // 20.08.15 15:25 Еще одна уязвимость в Android, на этот раз под угрозой 55% устройств // 11.08.15 00:12 Уязвимости в мобильных клиентах АСУ ТП // 28.07.15 15:52 Уязвимость в Android ставит под удар почти миллиард пользователей // 27.07.15 21:40

последние новостиBugTraq.Ru: последние новости Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов // 30.03.24 17:23 Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22 Doom на газонокосилках // 28.02.24 17:19 Умер Никлаус Вирт // 04.01.24 14:05 С наступающим // 31.12.23 23:59 Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29 Google Drive находит файлы // 07.12.23 01:46