Mobilne aplikacije je lako hakovati, a najlakše je hakovati Gmail, tvrde istraživači

Mobilni telefoni, 26.08.2014, 09:07 AM

Mobilne aplikacije je lako hakovati, a najlakše je hakovati Gmail, tvrde istraživači

Grupa istraživača sa Univerziteta Kalifornija i Univerziteta Mičigen otkrila je ranjivost, za koju istraživači veruju da postoji u Android, Windows i iOS platformi, koju hakeri mogu iskoristiti da bi došli do ličnih podataka korisnika pomoću malicioznih aplikacija.

Istraživači su otkrili način za hakovanje popularnih aplikacija za smart telefone, uključujući i Gmail za koji se ispostavilo da je jedna od aplikacija koju je najlakše hakovati, sa procentom uspešnosti od 92%.

Napad je testiran na Android telefonu (Samsung Galaxy S3), ali istraživači veruju da bi napad funkcionisao i na drugim mobilnim operativnim sistemima.

Najteže je bilo hakovati Amazon, kod koga je zabeležen procent uspešnosti od 48%.

Napad podrazumeva pristupanje deljenoj memoriji smart telefona uz pomoć zlonamernog programa maskiranog u naizgled bezopasnu aplikaciju, kao što je na primer aplikacija za menjanje pozadina.

Sve aplikacije koriste deljenu memoriju. Analizirajući je, istraživači su bili u stanju da otkriju kada se korisnik prijavljivao na aplikacije kao što je Gmail što im omogućilo da dođu do korisničkih imena i lozinki iz aplikacija.

“Pretpostavka je uvek bila da se ove aplikacije ne mogu mešati međusobno”, kažu istraživači. “Mi smo dokazali da takva pretpostavka nije tačna, i da jedna aplikacija ustvari može značajno uticati na drugu i dovesti do štetnih posledica za korisnika.”

Da bi demonstrirali svoje otkriće, istraživači su instalirali nepotpisanu aplikaciju za menjanje pozadina na telefonu koja je sadržala maliciozni kod. Kada napadač instalira takvu aplikaciju, on je može koristiti za pristup ulaznoj tački koju istraživači nazivaju “slivnik deljene memorije” koji postoji u skoro svim popularnim GUI (Graphical User Interface), a ne zahteva neke specijalne privilegije.

Nadgledajući promene u deljenoj memoriji, istraživači su bili u mogućnosti da utvrde, na primer, kada se korisnik prijavljivao na Gmail ili da uz pomoć kamere uređaja fotografišu čekove kojima plaćaju korisnici aplikacije Chase Bank. Među aplikacijama koje su hakovali istraživači su i H&R Block, Newegg, WebMD, Hotels.com i Amazon.

Da bi napad bio uspešan neophodno je da budu ispunjena dva uslova: najpre, da se napad izvede tačno u momentu kada korisnik obavlja aktivnost, i drugo, da napad bude izveden na takav način da korisnik ne zna za to.

Istraživanje je predstavljeno na konferenciji USENIX u San Dijegu 23. avgusta. Više detalja o ovome možete naći u dokumentu koji su objavili istraživači (pdf).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver omogućava hakerima da podignu novac žrtava sa bankomata

Novi Android malver omogućava hakerima da podignu novac žrtava sa bankomata

Istraživači iz ESET-a otkrili su novi malver za Android nazvan NGate koji krade informacije o platnim karticama žrtava koje zatim šalje napadačim... Dalje

Sajber kriminalci imaju novu taktiku za krađu podataka sa platnih kartica korisnika iOS-a i Androida

Sajber kriminalci imaju novu taktiku za krađu podataka sa platnih kartica korisnika iOS-a i Androida

Sajber kriminalci su pronašli način da zaobiđu odbrane iOS-a i Androida u novoj kampanji čije su mete korisnici u istočnoj Evropi. Ova nova tehni... Dalje

Google više neće nagrađivati za ranjivosti otkrivene u aplikacijama na Google Play

Google više neće nagrađivati za ranjivosti otkrivene u aplikacijama na Google Play

Bezbednosne ranjivosti se kriju u većini aplikacija koje svakodnevno koristite. Većina kompanija nema način da preventivno reši svaki mogući b... Dalje

Chrome će sakrivati lozinke i brojeve kreditnih kartica kada delite ili snimate ekran na Androidu

Chrome će sakrivati lozinke i brojeve kreditnih kartica kada delite ili snimate ekran na Androidu

Google će redigovati podatke o vašoj kreditnoj kartici, lozinke i druge osetljive informacije u Chromeu kada delite ili snimate ekran na Androidu. ... Dalje

Google Pixel telefoni se godinama prodavali sa skrivenom aplikacijom za nadzor

Google Pixel telefoni se godinama prodavali sa skrivenom aplikacijom za nadzor

Većina Google Pixel telefona prodatih širom sveta od septembra 2017. uključivala je softver koji bi se mogao koristiti za nadzor, daljinsko upravl... Dalje