Уязвимость в ОС Android позволяет злоумышленникам деактивировать блокировку на устройстве
Исследователи безопасности из компании Curesec сообщили об уязвимости в Android 4.3 Jelly Bean, позволяющей вредоносному приложению деактивировать защитную блокировку на устройстве, оставляя его полностью открытым для дальнейших атак.
Устройства, работающие на базе этой мобильной ОС, могут блокироваться различными способами – при помощи pin-кодов, паролей, распознавания лица и т. д. При попытке пользователя изменить один из видов блокировки, он также должен ввести другой для подтверждения того, что устройство действительно принадлежит ему. Например, для того, чтобы изменить пароль, пользователь дополнительно вводит свой pin-код. Уязвимость в Jelly Bean, обнаруженная Curesec, позволяет вредоносному приложению пропустить этот шаг и отключить остальную защитную блокировку.
«Уязвимость присутствует в com.android.settings.ChooseLockGeneric class. Этот класс используется для того, чтобы пользователи могли модифицировать защитный механизм блокировки», — говорится в сообщении Curesec.
Эксперты Curesec заявили, что сообщили Google о проблеме еще 11 октября. Технологический гигант ответил исследователям на следующий день, однако на этом все закончилось. По словам представителей Google, уязвимость устранена в Android Kit Kat 4.4.
Источник: securitylab.ru
