CheerfulMacFanboy escreve com um link para o Heise Online, que diz que os investigadores "," Segurança demonstraram duas vulnerabilidades que permitem que os atacantes para instalar aplicativos no Android e suas implementações específicas de fornecedor sem a permissão do usuário. Durante a instalação normal, os usuários são, pelo menos, pediu para confirmar se um aplicação é ter alguns direitos de acesso. Ignorando o pedido de confirmação supostamente permite dialers, spyware ou até mesmo para ser instalado em um smartphone. Uma vulnerabilidade foi identificada quando um especialista em segurança de aparelhos HTC analisadas e constatou que o navegador web integrado tem o direito de instalar pacotes adicionais (utilizados para atualizar automaticamente seu Flash Lite plug-in). Atacantes podem explorar esta se ter encontrado um outro furo navegador. 'Android especialista Jon Oberheide demonstrou outro buraco que envolveu abusar da Account Manager para gerar um token de autenticação para o Android Market ea obtenção de permissão para instalar aplicativos adicionais de lá. No entanto, este inicialmente requer um aplicativo especialmente desenvolvido para ser instalado no smartphone. Nada poderia ser mais fácil: lançou o Oberheide supostamente inofensiva "Birds Angry Bonus Levels" app para o Android Market e, após a instalação, este aplicativo baixado e instalado três aplicativos adicionais ("Fake Toll Fraud", "Fake Contato Stealer" e "Fake Localização Tracker ") sem pedir a permissão do usuário."
Leia mais desta história em Slashdot.
Nenhum comentário:
Postar um comentário