В Gmail app нашли уязвимость

   Уязвимость, обнаруженная экспертами в области кибербезопасности, позволяет с вероятностью до 92% взломать Gmail в среде Android, Windows и iOS.

    Уязвимость обнаружили сотрудники Университета Мичигана и Технического колледжа Риверсайд Бёрнс при Калифорнийском университете. По их мнению, уязвимость присутствует в приложении Gmail для всех крупных операционных систем, позволяя хакерам похитить важные пользовательские данные.

   Результаты озвучили в рамках доклада «Не видеть приложение и заглянуть в него: проблемы пользовательского интерфейса и новые угрозы кибератак в мире Android», представленного в ходе Конференции по вопросам безопасности USENIX в Сан-Диего. Хотя тестирование проводилось на примере смартфона с Android OS, авторы открытия уверены, что их метод актуален для всех трёх крупнейших ОС ввиду возможности обращения используемых во всех трёх ОС приложений к общей оперативной памяти мобильного устройства. «Раньше считалось, что добиться взаимного вмешательства в работу этих приложений очень не просто, – сказал младший научный сотрудник Технического колледжа при Калифорнийском университете Жюн Квиан (Zhiyun Qian). – Мы показали, что это предположение не соответствует действительности и на самом деле одно приложение способно серьёзно влиять на работу другого с возможным ущербом для пользователя».

   

   В отчёте приводится пример закачки приложения, которое считают безопасным. Установив такое приложение, исследователи, по их словам, смогли осуществить эксплойт канала публичного доступа и используемой процессом общей памяти, допускающих обращение без ограничений и без необходимости подтверждения прав на доступ к данному приложению.

   Далее изменения в этой части общей памяти отслеживаются и коррелируются с тем, что исследователи назвали «событие смены состояния активности». В результате, когда пользователь с помощью такого приложения входит в Gmail или, например, делает снимок чека для отправки в банк по Интернету с целью пополнить счёт, фиксируются изменения в активности.

   По словам исследователей, метод, позволяющий эксплуатировать уязвимость в Gmail, сработал в 82–92% случаев и показал эффективность на примере шести из семи участвовавших в тесте приложений. Кроме Gmail, жертвой пали H&R Block, Newegg, WebMD, Chase Bank, Hotels.com и Amazon, при этом наибольшую стойкость показал Amazon app с результатом 48% успешных попыток. Реакция Google оказалась положительной: «Сторонние исследования позволяют повысить надежность и безопасность Android».

   В июле компания Lacoon Mobile Security предупредила пользователей о риске краже данных при доступе к Gmail с iOS-устройств. По словам представителей фирмы, уязвимость стала результатом отсутствия реализации со стороны Google механизмов защиты передаваемых по Интернету зашифрованных сообщений от просмотра и изменения организаторами кибератак.