В операционной системе Android обнаружена новая уязвимость в безопасности (CVE-2018-9489), которая позволяет кибермошенникам скрытно фиксировать данные широковещательной передачи Wi-Fi для слежки за пользователями.
Исследователь Cyberecurity Nightwatch Яков Шафранович пояснил, что проблема CVE-2018-9489 базируется на особенностях работы штатного механизма intents в ОС Android, который позволяет ОС и установленному ПО вести внутреннюю коммуникацию, при этом не запрашивая разрешения на доступ к скрытой информации. Таким образом могут быть раскрыты данные Wi-Fi, BSSID, локальные IP-адреса, данные DNS-сервера и MAC-адреса. Считается, что MAC-адрес был скрыт в версии 6 и выше, но мошенники всё равно добираются до неизменного MAC-адреса. С наличием такой информации киберпреступники смогут отслеживать человека по его устройству, атаковать локальные Wi-Fi сети, красть конфиденциальную информацию.
×
Nightwatch Cyber Security считает, что затронуты все версии Android (даже FireOS для Kindle от Amazon). Фирма по кибербезопасности первоначально ещё в начале весны сообщила о своих исследованиях Google. После анализа компанией, который занял несколько месяцев, уязвимость обозначили как CVE, и Google разработал исправление в середине лета. Патч был подтвержден в начале августа, что публично раскрыло проблему. Google исправил эту уязвимость в свежей Android 9 Pie, но не планирует закрывать её в старых версиях Android, тем самым ставя многочисленных пользователей под удар хакерских атак.
Чтобы минимизировать риски, эксперты в области цифровой безопасности рекомендуют обновить ОС на устройстве до Android 9.0 Pie. Если же смартфон не поддерживает новую версию Android, то не устанавливать приложения из сторонних источников и от неизвестных разработчиков. Заметим, что далеко не все новые смартфоны выпускаются производителями с предустановленной Android 9 Pie, а обновление ещё нужно дождаться от компании, а не от Google. Пока же свежая ОС установлена менее чем на 0.1% Android-устройств.
Источник: phonearena.com