Android 4.3 Jelly Bean может быть атакован из-за ошибки, обнаруженной еще в сентябре прошлого года

Android 4.3 Jelly Bean может быть атакован из-за ошибки, обнаруженной еще в сентябре прошлого года

Компания IBM распространила информацию, согласно которой, Android 4.3 Jelly Bean содержит серьезную уязвимость в разделе Android KeyStore, крайне важном сегменте Android, где хранятся криптографические ключи и прочие зашифрованные данные, в том числе о банковских картах и различных платежных инструментах. Это может позволить злоумышленникам использовать денежные средства пользователя в личных целях. Интересно, что команда, обнаружившая уязвимость, получила первые данные об уязвимости еще 9 месяцев назад. Тогда группа специалистов по IT-безопасности столкнулась с классической ошибкой переполнения буфера в службе Android KeyStore, однако этому не придали большого значения. Лишь 23 июня появилось сообщение о том, что эта ошибка может быть успешно использована для проведения атаки на устройствах под управлением Android 4.2 и старше. И только вчера стало понятно, что под угрозой находится лишь Android 4.3, что составляет порядка 10% устройств.

К счастью, использование уязвимости хакерами ограничено рядом условий. Во-первых, на подверженном атаке устройстве должно быть установлено приложение, в котором сохранены определенные платежные данные, в частности, PIN-код и некоторая информация о владельце. Во-вторых, для совершения атаки необходимо обойти внутренние инструменты безопасности Android - предотвращение выполнения данных и рандомизация адресного пространства. Таким образом специалисты скептически относятся к возможности большого числа атак на Android-смартфоны. Лучшей защитой от атаки называется отказ от сохранения личных данных от банковских карт или онлайн-кошельков на мобильных устройств и установка любых приложений только из доверенных источников. Интересно, что этот совет можно применить практически ко всем угрозам безопасности и практически всегда они будут эффективны.

Сообщается, что в Android 4.4 KitKat данный эксплойт отсутствует.

Источник: phonearena.com


  • Ezrael
    глупо вообще хранить эти данные в смартфоне.
    • Misha2003
      Надо хранить данные на 4.4 или л
      • wrc200
        А где новость, что N4 получил превьюшку L?
        • Cool00
          wrc200, надо просто хранить данные как то не заметно. например так
          не номер и пароль пластиковой карточки.doc
          здесь нет пароля от контакта и одноклассников.doc
          )))
          • Дикий_Холод
            Cool00,
            И обязательно на рабочем столе.)
            • (Комментарий удален)

          • tamadok
            wrc200, официальной то нету на него превьюшки
        • (Комментарий удален)

        • Yenot
          Ezrael,
          действительно глупо использовать подобные возможности смарта, главное чтоб он игры тянул
          • nightsidechild
            Yenot,
            ну пинкоды хранить действительно тупо. потерял смарт и привет.
            главная уязвимость всегда - пользователь
            • Ezrael
              Причем тут возможности? глупо оставлять глупые комментарии.
              если пользуетесь эклектроной комерцией надо чистить за собой все пароли и номера. а не хранить в смарте пин коды и т д.
              • Yenot
                Ezrael, если глупо - не оставляйте, или яснее формулируйте мысль. Чистите, а у меня действия по карте надо через смс подтверждать, поэтому мне фиолетово
          • GTI5700
            Она мне изначально не понравилась....
            • PashkaSmoker
              потом найдут что нибудь в 4.4....
              • GreaB
                PashkaSmoker,
                и как всегода напишут инструкцию по эксплуотации уязвимости, ибо без поддержки юзеров ниче не выходит)
              • omeenz
                подумаешь, лишь 4.3 , всего 10% устройств...
                • 998_anton
                  omeenz,
                  подумаешь, пару миллионов лишаться своих денег...
                  • yanagi-ori
                    Новость читал? Сами "исследователи" к этой уязвимости скептически относятся.
                • (Комментарий удален)

                • pasha5230
                  на мтк до сих пор 4.2 так что норм
                  • explorerua
                    pasha5230,
                    В точку)))
                    • Rinaldos73
                      pasha5230,
                      acer z200, который скоро выйдет, на 4.4. Неизвестно как )
                    • Andre_Macareno
                      Вот поэтому андроиду еще далеко в плане безопасности до BB10.
                      • nightsidechild
                        Andre_Macareno,
                        без юзверя всё тлен.
                        это точно так же, как говорить что приоре далеко по безопасности до мерседеса, но при этом не пристегиваться ни там ни там.
                        • Black_Velvet
                          Andre_Macareno,
                          по-моему, BB10 в этом плане уже сливает ведру...
                        • ahma5
                          ПФ. На моём смартфоне андроид 4.2 , и вообще таких данных на нём нет)
                          • Damis_Roy
                            Все побежали брать новые клоны на 4.4 по конским ценам)
                            • (Комментарий удален)

                              • (Комментарий удален)

                            • gofuck
                              Пофигу, у меня 4.4)
                            • dvjfreez
                              Вообще надо все устройства обязать принять общую оболочку Android как на Nexus и получать постоянные обновления и тогда проблем не будет....А то что получается, производители просто навсего забывают про свои старые смарты, отсюда в итоге такая вот проблема с хакерами ;)
                              • барбалыга
                                dvjfreez,
                                Так то оно так, да зато производителям не больно выгодна такая долгая поддержка. Кто тогда новые смарты будет брать то?.
                                • Chypatan
                                  барбалыга,
                                  А это уже их проблемы.
                                  • барбалыга
                                    Icecreamer,
                                    Чёрта с два.. ихнии проблемы. Вложатся в маркетинг, запудрят мозги, и на тебе-пипл хавает(не все конечно, но многие ведутся на это). Прошли те времена когда холодильники и остальное служило поколениям. Бабло рулит, хочеш топ -выкладывай деньги.
                              • барбалыга
                                Независимо от версии андроида я считаю глупо держать в смарте информацию такого рода, тем более в наше хакерское время...
                                • Shurx
                                  Как-будто ios или другую ОС нельзя взломать... Глупость
                                  • mishaz879
                                    Shurx,великий и могущественный WINDOWS PHONE нельзя взломать!
                                    • Andre_Macareno
                                      ...если это не Samsung Ativ S.
                                    • dima_atom
                                      Shurx, ну взломай. Это ж легко.
                                    • lunix221
                                      может но не будет атакован всем плевать
                                      • @llexander
                                        Очередная уловка маркетологов- а ля повод покупки свежего девайса с актуальной ОС ! ;)
                                        Но вот бяда, многие владельцы смартов пользуются ими как обычным телефоном и не больше!)
                                        • (Комментарий удален)

                                        • вообще глупо хранить такие данные.

                                          Центр мониторинга и управления сетью связи общего пользования, входящий в состав Роскомнадзора, прокомментировал недавние проблемы с доступом к ряду сайтов. В ведомстве объяснили причину случившего и дали рекомендации владельцам сайтов, как избежать проблем с доступом.

                                           

                                          Менее чем через две недели после подтверждения «игровых» багов в Windows 11 компания Microsoft выпустила патч, исправляющий картинку и звук на проблемных компьютерах. Теперь их пользователи могут обновить ОС, не опасаясь BSOD и других неприятных последствий.

                                           
                                          <div></div><div></div><a href='/2025/02/09/8196196/' target='_blank'><img src='https://i.4pda.ws/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div><div></div>

                                          Группа хакеров Massgrave объявила о самом большом достижении в истории пиратства Windows и Office. Они уверяют, что созданный эксплойт позволяет обойти систему защиты Microsoft и активировать практически любые современные версии операционной системы и офисного пакета.

                                           

                                          Издание ТАСС опубликовало отчёт аналитической компании MediaScope, посвящённый аудитории мессенджеров в России. Как оказалось, при всей своей популярности Telegram пока нельзя назвать «народным» сервисом по общему количеству активных пользователей.

                                           

                                          Take-Two широко известна своими ревностными попытками защиты интеллектуальной собственности — зачастую в ущерб рядовым игрокам. Недавно компания уничтожила большой проект по переносу GTA IV на движок GTA V, а теперь появился новый «нарушитель спокойствия».

                                           

                                          Часть пользователей Windows 11 столкнулась с необычной проблемой: их компьютеры неожиданно начали «выкручивать» громкость звука на 100%. В Microsoft уже признали наличие неполадки и рассказали, из-за чего она возникает.

                                           

                                          Портал iPhones.ru со ссылкой на собственный источник в Apple сообщил, что американская компания начала сокращать своё присутствие на российском рынке. Похоже, что уже в ближайшее время владельцев техники Apple ждут как минимум два не самых приятных «нововведения».

                                           

                                          Финский университет Аалто организовал мероприятие Nokia Design Archive, посвящённое самым оригинальным продуктам некогда культового бренда. Экспонатами стали не только серийные, но и концептуальные устройства, которые так и не добрались до полок магазинов.

                                           

                                          Исследователи из Принстонского университета и Индийского технологического института использовали ИИ для сокращения времени и стоимости разработки новых чипов. Они обучили искуственный интеллект создавать сложные электромагнитные структуры и соответствующие схемы на основе заданных параметров за считаные часы.

                                           

                                          Джейсон Шрейер заслужил себе статус одного из важнейших игровых журналистов игровой индустрии, чьему мнению и прогнозам можно доверять, и на Bloomberg вышел большой материал с его прогнозами на 2025 год в видеоиграх.

                                           
                                          Вышла стабильная iOS 18.3. Что нового в прошивке? Популярное

                                          Компания Apple выпустила финальный билд операционной системы iOS 18.3 для всех поддерживаемых моделей iPhone. В новой версии прошивки компания расширила набор интеллектуальных функций Apple Intelligence и внесла изменения в интерфейс некоторых штатных приложений, а также исправила известные ошибки.

                                           

                                          Почти год прошёл с момента, когда вертолёт Ingenuity повредил лопасть и завершил свой рекордный полёт на Марсе. Этот инцидент стал финалом воздушных исследований первого в истории управляемого летательного аппарата на другой планете. Теперь NASA поделилось результатами проведённого расследования.

                                           

                                          После нескольких месяцев тестирования Google начала рассылать пользователям обновление фирменной клавиатуры Gboard с переработанной темой Dynamic Color. Компания решила сделать дизайн чуть более сдержанным за счёт отказа от ярких цветов.

                                           

                                          Норвежская компания Vipps MobilePay объявила об успешном запуске первого в истории альтернативного платёжного сервиса для смартфонов Apple. До этого владельцы iPhone для совершения покупок могли использовать только Apple Pay. Пока речь о локальном запуске, но в ближайшем времени ожидается и выход на глобальный рынок.

                                           

                                          Россияне смирились с тем, что Discord в стране оказался заблокирован, однако представители сервиса обещали изучить проблему и найти пути её решения. Нашли, решили, но всё это скорее напоминает странную шутку.

                                           

                                          Компании из Поднебесной продолжают активно снижать зависимость от зарубежных производителей полупроводниковой продукции. Судя по обзорам китайского твердотельного накопителя Zhitai TiPro9000, он демонстрирует результаты на уровне лучших современных аналогов PCIe 5.0 x4.

                                           
                                          Мессенджер WhatsApp наконец избавился от неприятного недостатка Популярное

                                          Одной из любимых функций пользователей WhatsApp стала возможность доступа к одной учётной записи сразу с нескольких устройств. При этом сохраняется вся информация и функциональность, за исключением одного недостатка, который разработчики мессенджера наконец-то исправили.

                                           

                                          Издание ABC News опубликовало «народный» рейтинг популярности PIN-кодов, которые выбирают пользователи смартфонов и различных веб-сервисов. Как оказалось, большинство из них не придают особого значения сложности этого цифрового «ключа».

                                           

                                          Valve опубликовала новую выборку статистики пользовательского железа. В октябре она аномальная: почти все позиции видеокарт испытывают прирост, отрицательных показателей мало.

                                           

                                          Незадолго до ожидаемой премьеры смартфон POCO X7 прошёл неофициальное тестирование в Geekbench. Помимо оценки производительности, протокол испытаний, как водится, включает часть ключевых спецификаций устройства — модель процессора и объём оперативной памяти.

                                           
                                          Без SMS и регистрации. Поисковик ChatGPT стал бесплатным для всех Популярное

                                          Свою поисковую систему OpenAI представила ещё в ноябре, но воспользоваться ей могли только подписчики тарифа ChatGPT Plus. Теперь же это ограничение осталось в прошлом: компания предоставила открытый доступ к сервису всем пользователям без дополнительных условий.

                                           

                                          Недавно пользователи YouTube начали жаловаться на аномально длинные рекламные ролики, которые невозможно пропустить. Google взялась прокомментировать ситуацию — и тут же «назначила» виновными в случившемся самих пользователей.

                                           

                                          Владелец Tesla Cybertruck из Сиэтла, штат Вашингтон, Ник столкнулся с неприятной неожиданностью после того, как он прикрепил к своему электропикапу магнит. Спустя некоторое время на корпусе электрокара появились первые признаки коррозии.

                                           
                                          DeepSeek выпустила мощную нейросеть Janus Pro для генерации изображений Популярное

                                          Китайская компания DeepSeek выпустила семейство мультимодальных моделей искусственного интеллекта Janus Pro. По заявлению разработчиков, новые ИИ-алгоритмы способны генерировать и анализировать изображения лучше, чем OpenAI DALL-E 3 и Stable Diffusion.

                                           

                                          На одной из российских улиц в «Яндекс Картах» появилась особая панорама, которая отправляет человека в виртуальную реальность. По словам компании, съёмку улицы выполнил робот-доставщик с 360-градусной камерой.

                                           

                                          Британская авиакомпания EasyJet объявила о сотрудничестве со стартапом JetZero для создания необычного самолёта на водороде со смешанным крылом. Такая конструкция позволит сократить расход топлива вдвое, а также добиться нулевого выброса углерода во время дальних авиаперелётов.

                                           

                                          Google наконец-то начала распространение стабильной версии Android 15 на смартфоны и планшеты линейки Pixel. Обновление привносит несколько полезных фишек, хотя ничего радикального в системе не поменялось.

                                           

                                          Речь не о полноценной операционной системе, а одноимённом приложении. С 20 сентября программа Windows доступна на разных платформах. Она служит для удалённого управления компьютером со смартфона, планшета или другого ПК.

                                           

                                          В социальных сетях и на форуме появилось множество сообщений, что свежее обновление прошивки для старых флагманов линеек Galaxy S10 и Galaxy Note10 привело к их поломке. После установки апдейта пользоваться устройствами становится попросту невозможно.

                                           

                                          Правительство согласно выделить 2,25 млрд рублей до 2030 года на разработку технологий 5G Advanced и 6G, пишет Forbes со ссылкой на источники. Выяснили, что известно о планах по развитию перспективных телеком-стандартов в РФ.

                                           

                                          Технологии продолжают упрощать нашу жизнь, и новый ультразвуковой беспроводной резак Hanboost C1 — яркое тому подтверждение. Уникальный инструмент представлен в форме компактной ручки и может упростить работу дизайнерам, скульпторам, мастерам 3D-печати, любителям моделирования и много кому ещё.

                                           

                                          На сайте Microsoft появилось руководство под названием «Как удалить Microsoft Edge», но на самом деле информации об удалении там нет. Компания называет преимущества браузера перед Google Chrome и всеми силами пытается уговорить читателя не удалять Edge.