Хакерская конференция DefCon, проводимая в эти дни, стала местом демонстрации так называемой «дизайнерской» уязвимости. Авторство ее обнаружения принадлежит вице-президенту компании Trustwave Николасу Перкоко (Nicholas Percoco). Суть находки заключается в возможности запуска в системе Google всплывающих рекламных окон и использовании ее для проведения фишинговых атак. Как известно, уведомления приложений располагаются в Android в верхней части экрана.
Но в то же время стандартный Android SDK позволяет применить к разработке полномочия, выводящие ее на первый план даже во время работы другого приложения. Причем тот же инструментарий способен изменить назначение сенсорных клавиш, то есть фактически разработчик способен «блокировать» клавишу возврата к предыдущему окну. В качестве одного из примеров была продемонстрирована игра, снабженная модульным экраном для входа в аккаунт Facebook.
На самом деле вводимая информация просто пересылается на удаленный сервис и попадает в руки злоумышленников. Есть и другое возможное направление применения всплывающих окон – своеобразная торговая война. Тогда окна будут появляться при использовании конкурентных программ или игр.
Goolge уже отреагировала на обнаруженную «ошибку». По мнению компании, проблема заключается в способности одного приложения идентифицировать другое и вывести всплывающее окно без разрешения. Однако механизм этих действий таков, что вредоносную программу невозможно отличить от нормальной в автоматическом порядке. В общем, пока Google никаких «движений» по устранению ошибки предпринимать не собирается.
