В совместно опубликованном исследовании специалистов Microsoft Research и Университета Индианы подробно описан риск возможной атаки на самые популярные в настоящее время мобильные операционные системы — iOS и Android, сообщает издание ArsTechnika. Обнаруженная архитектурная уязвимость позволяет хакерам при определенных обстоятельствах получить доступ к пользовательской информации, такой как реквизиты электронной почты, сервисов хранения данных и др.
Это может происходить из-за того, что браузерные cookie, файлы документов и другой ограниченный контент, исходящий из одного домена, может быть без каких-либо лимитов доступен скриптам с того же домена, но контролируемым потенциальными злоумышленниками. Проще говоря, хакеры имеют возможность получить доступ к важным файлам устройства при помощи веб-скриптов и cookie.
В отличие от настольных браузеров, которые применяют политику защиты, препятствующую прямому доступу из одного домена к контенту из того же домена (same-origin policy), мобильные системы средств защиты обмена данными между различными приложениями, а также между приложениями и веб-сайтами не имеют или имеют, но слабые. Это делает их подверженными так называемым уникальным cross-origin-атакам, последствия которых могут быть самыми непредсказуемыми. К примеру, разработав определенные алгоритмы управления мобильными межсайтовыми скриптами и подделав некоторые запросы, можно получить доступ к учетным записям социальных сетей или облачных хранилищ.
Специалисты продемонстрировали несколько так называемых XSS- (Cross-Site Scripting) и CSFR-атак (Cross-Site Request Forgery) для загрузки пользовательской информации на удаленный сайт с мобильных устройств. Исследователи утверждают, что наиболее опасным моментом атаки является то, что она работает сразу в двух популярных ОС и требует наличия всего одной ссылки на cookie-файл. Проблема также заключается в том, что ни в Android, ни в iOS нет встроенной защиты, позволяющей управлять взаимодействием между контентом разных приложений, обращающихся через совместные идентификаторы. Они также отметили, что устранение проблем безопасности будет затруднительно для разработчиков приложений, а защита от подобных атак должна поддерживаться на уровне ОС.
По данным министерства внутренней безопасности США и ФБР, особенно уязвимыми можно считать устаревшие версии Android. Исследователи полагают, что свыше 44% пользователей Android по всему миру до сих пор используют версии 2.3.3—2.3.7, содержащие бреши в защите, устранённые в следующих релизах. Посредством текстовых SMS распространяется почти половина вредоносных приложений для устаревших версий Android. Пользователи могут существенно снизить риски, установив пакеты безопасности на свои устройства.
Эксперты подсчитали, что платформа Android уязвима для 79% вредоносного ПО, тогда как Symbian — лишь для 19%. Windows Mobile, BlackBerry, iOS и другие платформы уязвимы лишь для 1%.