В мобильной операционной системе Android версий 4.3 и 4.4 обнаружена критическая уязвимость в реализации сервиса VPN, которая даёт злоумышленникам возможность перехватывать передаваемых по сети данные и перенаправлять их на сторонние серверы. Сообщают об этом специалисты из Индии, из Computer Emergency Response Team of India (CERT-In).
По их словам, найденная в Jelly Bean и KitKat уязвимость даёт возможность обходить настройки безопасности VPN и получать неправомерный доступ к незашифрованным сообщениям, то есть само предназначение VPN оказывается скомпрометированным. Ранее специалисты из Израиля нашли подобную уязвимость в смартфоне Samsung Galaxy S4 и инструменте корпоративной безопасности Samsung Knox. Как оказалось, виновны в этом не продукты Samsung, а две вышеназванные версии операционной системы от Google.
Со словам представителей южнокорейской компании, Google поощряет использование сетевых протоколов SSL/TLS. Там, где это сделать невозможно, применяется встроенный в Android VPN. Поскольку пользователи не могут быть уверены в том, что приложения используют достаточно высокие стандарты безопасности, им рекомендовано ставить только пользующиеся максимальным доверием программы, пока специалисты Google в ближайшее время не закроют описываемую уязвимость.