«Плащ и кинжал» для Android

Специалисты Технологического Института Джорджии выявили опасную уязвимость, которая угрожает всем версиям ОС Android, включая последнюю – 7.1.2. Они обнаружили, что любое приложение, получающее доступ к функциям SYSTEM_ALERT_WINDOW (возможность рисования «поверх окон») и BIND_ACCESSIBILITY_SERVICE («a11y») имеет возможность похищать конфиденциальные данные пользователей. При этом приложения, загружаемые из Play Store, получают доступ к этим функциям по умолчанию. Соответственно, если злоумышленникам удастся создать вредоносное приложение, использующее эти функции, и разместить его в магазине приложений от Google, у пользователей не будет никаких шансов защититься от угрозы.

Исследователи уже уведомили корпорацию Google об уязвимости, получившей название Cloak and dagger («плащ и кинжал»). Представители Google сообщили, что благодарят ученых за помощь и взаимодействуют с ними с целью решения проблемы.