Еще неделя не прошла с момента появления в продаже первого «гуглофона» T-Mobile G1, а эксперты по безопасности уже предупреждают о серьёзной бреши в защите программного обеспечения Google Android.
Еще неделя не прошла с момента появления в продаже первого «гуглофона» T-Mobile G1, а эксперты по безопасности уже предупреждают о серьёзной бреши в защите программного обеспечения Google Android. Уязвимость в веб-браузере позволяет злоумышленнику удалённо установить на телефонный аппарат жертвы вредоносное ПО, которое, например, может перехватывать нажатия на клавиши и, таким образом, открывает широкие возможности для похищения паролей и другой конфиденциальной информации.
Как отмечает один из участников группы исследователей, бывший сотрудник Агентства Национальной Безопасности Ч. Миллер, «дыра» может быть использована хакером в том случае, если ему удастся заманить пользователя на свой подставной веб-сайт, который содержит вредоносный код.
Кстати, именно Миллер написал эксплойт (программный код, использующий брешь в защите) на SDK для Android. По его словам, эксплойт позволяет ему несанкционированно читать текстовые сообщения, просматривать содержимое «куки» (cookies), перехватывать пароли, следить за всеми действиями пользователя, которые он совершает с веб-браузером. Кроме того, он может заставить жертву думать, что она посещает сайт своего банка, в то время как в действительности происходит незаметное перенаправление на подставную страницу-копию.
Миллер сообщил Google о найденной уязвимости 20 октября, то есть за два дня до официального появления G1 в магазинах. Представители Google попросили Миллера не сообщать публично о данном «баге» до выхода соответствующего исправления, но он придерживается позиции, что пользователи имеют право знать о потенциальной опасности. По его мнению, если пользователи ничего не знают о проблеме, то они будут пользоваться телефоном с полной уверенностью в безопасности своих данных и в один прекрасный момент могут поплатиться за это, а предупреждение об опасности заставит их быть более осторожными.
Любопытна также сама история написания эксплойта. Как отмечается, вначале Миллер проверил свой код на эмуляторе SDK, но он не был уверен в том, что эксплойт будет работоспособен на реальном устройстве. Миллер купил G1 на аукционе eBay у одного из сотрудников T-Mobile ещё за неделю до начала продаж. Это и позволило ему сообщить об уязвимости разработчикам ещё до релиза.
А тем временем специалисты Google совместно со своими партнёрами из T-Mobile и HTC активно работают над устранением «бага». Как сообщается, в открытых исходных кодах ошибки уже поправлены, теперь осталось обновить программное обеспечение на телефонах, которые уже находятся в использовании.