До недавнего времени одноименное приложение Google для Android, которое на сегодняшний день установлено более пяти миллиардов человек, имело уязвимость, которая могла позволить злоумышленнику незаметно украсть личные данные с устройства жертвы.
Сергей Тошин, основатель стартапа по безопасности мобильных приложений Oversecured, заявил в своем блоге, что уязвимость связана с тем, как приложение Google использует код, который не связан с самим приложением. Многие приложения Android, включая приложение Google, уменьшают размер загружаемых файлов и дисковое пространство, необходимое для запуска, полагаясь на библиотеки кода, которые уже установлены на телефонах Android.
Но недостаток в коде приложения Google означал, что его можно обмануть, чтобы вытащить библиотеку кода из вредоносного приложения на том же устройстве вместо библиотеки законного кода, что позволило вредоносному приложению унаследовать разрешения приложения Google и предоставить ему почти полный доступ. к данным пользователя. Этот доступ включает в себя доступ к учетным записям Google пользователя, истории поиска, электронной почте, текстовым сообщениям, контактам и истории вызовов, а также возможность активировать микрофон и камеру и получить доступ к местоположению пользователя.
По словам Тошина, вредоносное приложение необходимо запустить один раз, чтобы атака сработала, но атака происходит без ведома или согласия жертвы. По его словам, удаление вредоносного приложения не приведет к удалению вредоносных компонентов из приложения Google.
Представитель Google сообщил TechCrunch, что компания устранила уязвимость в прошлом месяце, и у него нет доказательств того, что уязвимость использовалась злоумышленниками. Встроенный в Android сканер вредоносных программ, Google Play Protect, предназначен для предотвращения установки вредоносных приложений. Но ни одна функция безопасности не идеальна, и вредоносные приложения проскользнули через ее сеть и раньше.
Тошин сказал, что уязвимость приложения Google похожа на другую ошибку, обнаруженную стартапом в TikTok в начале этого года, которая в случае использования могла бы позволить злоумышленнику украсть токены сеанса пользователя TikTok, чтобы получить контроль над его учетной записью.
Oversecured обнаружил несколько других подобных уязвимостей, включая приложение Google Play для Android и недавно установленные приложения на телефонах Samsung.