Компания IBM распространила информацию, согласно которой, Android 4.3 Jelly Bean содержит серьезную уязвимость в разделе Android KeyStore, крайне важном сегменте Android, где хранятся криптографические ключи и прочие зашифрованные данные, в том числе о банковских картах и различных платежных инструментах. Это может позволить злоумышленникам использовать денежные средства пользователя в личных целях. Интересно, что команда, обнаружившая уязвимость, получила первые данные об уязвимости еще 9 месяцев назад. Тогда группа специалистов по IT-безопасности столкнулась с классической ошибкой переполнения буфера в службе Android KeyStore, однако этому не придали большого значения. Лишь 23 июня появилось сообщение о том, что эта ошибка может быть успешно использована для проведения атаки на устройствах под управлением Android 4.2 и старше. И только вчера стало понятно, что под угрозой находится лишь Android 4.3, что составляет порядка 10% устройств.
К счастью, использование уязвимости хакерами ограничено рядом условий. Во-первых, на подверженном атаке устройстве должно быть установлено приложение, в котором сохранены определенные платежные данные, в частности, PIN-код и некоторая информация о владельце. Во-вторых, для совершения атаки необходимо обойти внутренние инструменты безопасности Android - предотвращение выполнения данных и рандомизация адресного пространства. Таким образом специалисты скептически относятся к возможности большого числа атак на Android-смартфоны. Лучшей защитой от атаки называется отказ от сохранения личных данных от банковских карт или онлайн-кошельков на мобильных устройств и установка любых приложений только из доверенных источников. Интересно, что этот совет можно применить практически ко всем угрозам безопасности и практически всегда они будут эффективны.
Сообщается, что в Android 4.4 KitKat данный эксплойт отсутствует.
Источник:
не номер и пароль пластиковой карточки.doc
здесь нет пароля от контакта и одноклассников.doc
)))
И обязательно на рабочем столе.)
(Комментарий удален)
(Комментарий удален)
действительно глупо использовать подобные возможности смарта, главное чтоб он игры тянул
ну пинкоды хранить действительно тупо. потерял смарт и привет.
главная уязвимость всегда - пользователь
если пользуетесь эклектроной комерцией надо чистить за собой все пароли и номера. а не хранить в смарте пин коды и т д.
и как всегода напишут инструкцию по эксплуотации уязвимости, ибо без поддержки юзеров ниче не выходит)
подумаешь, пару миллионов лишаться своих денег...
(Комментарий удален)
В точку)))
acer z200, который скоро выйдет, на 4.4. Неизвестно как )
без юзверя всё тлен.
это точно так же, как говорить что приоре далеко по безопасности до мерседеса, но при этом не пристегиваться ни там ни там.
по-моему, BB10 в этом плане уже сливает ведру...
(Комментарий удален)
(Комментарий удален)
4.4.4)
Так то оно так, да зато производителям не больно выгодна такая долгая поддержка. Кто тогда новые смарты будет брать то?.
А это уже их проблемы.
Чёрта с два.. ихнии проблемы. Вложатся в маркетинг, запудрят мозги, и на тебе-пипл хавает(не все конечно, но многие ведутся на это). Прошли те времена когда холодильники и остальное служило поколениям. Бабло рулит, хочеш топ -выкладывай деньги.
Но вот бяда, многие владельцы смартов пользуются ими как обычным телефоном и не больше!)
(Комментарий удален)