Уязвимость ОС Android разрешает загружать опасное ПО

Уязвимость получила имя CVE-2014-7952. Она есть в системе резервного копирования данных и последующего восстановления всей информации. Из-за этой бреши хакеры могут получить полный доступ к смартфону, выполнять установку опасного ПО и прочее.

Работники Search-Lab сказали, что в обычной функции копирования эта уязвимость не возникает, она может быть выполнена через BackupAgent. Издание Help Net Security говорит, что эксперты по информационной безопасности не спешат бить опасность. Многие пользователи не увидят этой проблемы.

Исключение – кастомные и сторонние прошивки, не соответствующие официальным версиям Google и производителя смартфона. Поэтому нужно использовать официальные прошивки, а если вы устанавливаете Root-доступ, то нужно проверять источник. Через процедуру BackupAgent есть возможность получить доступ к скрытым настройкам, которые разрешают во время резервного копирования автоматически загружать посторонние приложения. Стоит заметить, что работа BackupAgent не требует особых разрешений для Android!

Система восстановления запускается через программу Android Debug Bridge, поэтому уязвимость в этом приложении присутствует. Нужно копировать свои данные с помощью аккаунта Google, не прибегая к сторонним приложениям. Отсюда и очевидна политика корпорации Google, потому что в наличии этой уязвимости нет её вины. Работники по безопасности сообщили Google об этой проблеме давно в 2014 году, но брешь не была закрыта.

Работники Google сказали, что устранение проблемы не является главной для компании задачей, потому что на обычную работу смартфона Android она не влияет. Угроза возникает только когда человек сам загружает опасное приложение и с её помощью копирует данные.