Группа исследователей из Университета Индианы и компания Microsoft нашли критическую уязвимость в операционной системе Android. Масштабная «дыра» в системе безопасности открыта при процедуре обновления операционной системы. В рамках этого процесса удаляются и заменяются тысячи файлов, хранящихся на смартфонах и планшетах, каждый из них имеет собственные атрибуты и привилегии в пределах файловой системы.
Уязвимость получила название Pileup. Когда идёт установка обновления, благодаря уязвимости среди прочего ПО в систему могут проникнуть вредоносные приложения, став на замену безопасным файлам, которые уже имели разрешения на работу и доступ к данным. В процессе установки настройки системы сбрасываются и может произойти либо замена безопасного файла одноимённым вредоносным, либо их слияние. Хакеры могут задействовать Pileup для внедрения вредоносного JavaScript-кода, который даст им контроль над пользовательскими данными.
Исследователи нашли шесть уязвимостей типа Pileup в Android Package Management Service. Они присутствуют во всех версиях Android Open Source Project, включая более чем 3500 модифицированных прошивок от производителей аппаратов. Таким образом, затронуто может быть более миллиарда мобильных устройств. В Google о наличии проблемы уже осведомлены и одну из шести уязвимостей успели закрыть.
Вчера также появилось сообщение за авторством фирмы Lookout Mobile Security об обнаружении на Android вредоносной программы Coinkrypt. Она, видимо, распространена не очень широко, и не крадёт данные пользователя, вместо этого превращая устройство в добытчик криптовалют, таких как Litecoin, Dogecoin и Casinocoin. Майнинг является весьма ресурсоёмким делом, и нагрузка на мобильные устройства ведёт к перегреву и быстрому истощению аккумулятора. К тому же транзакции виртуальных валют представляют собой большие файлы, скачивание которых может израсходовать трафик пользователей.
При всём этом заработать много не удастся. На похожей программе AndLTC на смартфоне Nexus 4 за неделю было добыто валюты Litecoin на сумму в 20 центов.