Бесплатно Экспресс-аудит сайта:

17.09.2014

Android-смартфоны уязвимы к атакам через просматриваемые web-страницы

В Metasploit, популярном среди исследователей безопасности наборе инструментов для проведения тестов на проникновение, появился новый модуль, позволяющий эксплуатировать опасную уязвимость в 75% всех смартфонов на базе ОС Android. Брешь дает возможность осуществить перехват web-страниц, просматриваемых жертвой. Об этом сообщает The Register.

Речь идет об уязвимости CVE-2014-6041, затрагивающей Android 4.4 (а также более ранние версии). Обнаружить ее удалось еще 1 сентября этого года независимому исследователю Тоду Бердсли (Tod Beardsley), который назвал брешь «катастрофой приватности».

«На практике это значит, что любой произвольный портал, находящийся под контролем злоумышленника, позволяет ему получить доступ к другим ресурсам, просматриваемым жертвой, - пояснил Бердсли. - Если вы зашли на такой сайт, а в соседней вкладке открыта почта, то атакующие могут с легкостью просмотреть ее или удалить все что им захочется».

Стоит отметить, что брешь также предоставляет атакующему возможность перехватить cookie текущей сессии и получить полный контроль над сеансом пользователя — то есть просматривать и изменять произвольные данные с привилегиями владельца устройства.

Ознакомиться с подробным описанием уязвимости можно здесь .