Уязвимость Android, Windows и iOS позволяет хакерам взламывать Gmail, Amazon и другие популярные приложения, замаскировав опасное приложение под безобидное, например игру или «обои».

Команда американских исследователей выявила уязвимость в операционных системах Android, Windows и iOS, через которую можно с вероятностью в 92% взломать почту Gmail и другие популярные сервисы.

Авторы исследования – доцент Калифорнийского университета Чжиюнь Циань, доцент Университета Мичигана Чжоуцин Морли Мао и ее коллега аспирант Ци Альфред Чэнь. Ученые представят исследование, озаглавленное «Заглянуть в приложение, но не видеть: пользовательский интерфейс и новые атаки на Android», сегодня на 23-м Симпозиуме USENIX по безопасности, проходящем в городе Сан-Диего. На этой конференции разработчики ПО ежегодно собираются для обмена опытом по кибербезопасности, прежде всего безопасности операционных систем.

Ученые начали работать над этим методом, так как посчитали, что огромное число создаваемых сейчас приложений являются фактором риска для пользователей. Когда пользователь скачивает несколько разных приложений, они начинают работать в общей инфраструктуре, то есть в операционной системе смартфона.

«Всегда предполагалось, что эти приложения не могут легко взаимодействовать друг с другом. Мы демонстрируем, что это предположение ложное и одно приложение может существенно повлиять на другие и навредить пользователю», — заявил Циань.

Суть метода заключается в том, что пользователь устанавливает на свой смартфон безобидную на первый взгляд программу, например «обои» для экрана телефона. После того как приложение (на самом деле, зловредное) было установлено, исследователи смогли получить доступ к общей памяти смартфона, где хранится статистическая информация о процессах. Общая память – функция, позволяющая нескольким процессам в операционной системе обмениваться данными, и для доступа к ней не требуется каких-либо специальных прав.

Ученые отслеживают изменения в общей памяти и сопоставляют их с такими событиями, как вход в Gmail или съемка фотографии. Дополнив информацию об изменениях данными, полученными еще от нескольких источников, авторы исследования продемонстрировали, что возможно достаточно точно определить, какая информация из общей памяти относится к нужной программе.

Правда, потенциальные взломщики столкнутся с двумя проблемами: во-первых, атаке необходимо состояться именно в тот момент, когда пользователь заходит в приложение или делает фотографию. Во-вторых, она должна произойти скрытно, незаметно для пользователя. Исследователи решили эти проблемы, тщательно рассчитывая время атаки.

«Android позволяет захватывать приложения, но атаку необходимо проводить в нужное время, чтобы не заметил пользователь. Мы это умеем, и это делает наш метод уникальным», — отмечает Циань.

Исследователи убеждены, что метод будет работать и на других операционных системах, кроме Android, в том числе на традиционно считающейся защищенной iOS, потому что у этих платформ совпадают необходимые для взлома функции. При этом они пока не тестировали свою программу на других операционных системах.

Большинство зловредных программ при установке на Android требуют большого количества подтверждений, например разрешение на доступ к SMS-сообщениям и истории звонков, что зачастую вызывает подозрения у пользователя и останавливает его от установки программы, говорит директор по развитию ИБ-компании Wallarm Cтепан Ильин.

Продемонстрированный исследователям способ перехвата данных из запущенных на смартфоне приложений, например логина и пароля при вводе его в клиенте для интернет-банкинга, лишен этого недостатка, так как не требует никаких дополнительных разрешений, используя для перехвата особенности ОС, в частности общую память приложений, отмечает эксперт. Благодаря этому зловредный функционал гораздо проще замаскировать под легитимное приложение, например игру, и под каким-то предлогом подсунуть пользователю.

Исследователи опубликовали научную работу, так что потребуется некоторое время, прежде чем злоумышленники реализуют идею и начнут ее активно использовать, говорит эксперт. «Но, когда это произойдет, вероятность того, что приложения с таким функционалом попадут в Google Play, довольно велика. Магазин приложений довольно либерален с точки зрения верификации приложений, автоматические проверки на предмет вредоносного функционала далеко не всегда эффективны», — предупреждает он.

Чтобы защититься от подобных взломов, Циань рекомендует пользователям не устанавливать сомнительные приложения, а разработчикам операционных систем – осторожнее балансировать между безопасностью и функциональностью.

Пользователи подвергаются опасности только в случае, если установят на свое устройство вредоносное программное обеспечение, подчеркивает Степан Ильин. Поэтому для защиты, как обычно, действуют элементарные правила сетевой гигиены: не устанавливать на устройство приложения из ненадежных источников и издателей — особенно писем и SMS-сообщений, обновлять ОС и приложения до актуальных версий, в которых исправлены уязвимости, и, наконец, установить антивирус, хотя бы бесплатный, напоминает эксперт по кибербезопасности.

Взлом таких базовых сервисов, как почта Gmail, может иметь серьезные последствия: именно таким образом, по мнению экспертов, хакерам удалось на прошлой неделе получить доступ к информации на смартфонах премьер-министра России Дмитрия Медведева и к его аккаунтам в социальных сетях.