Эксперты из компании Rapid7, которая занимается разработкой решений для управления уязвимостями, снова огорчили пользователей Android очередными неприятными новостями.
Несколько уязвимостей в магазине Google Play позволяют хакерам устанавливать вредоносные приложения без ведома пользователей. Как и во многих других случаях, во всем снова виноват штатный браузер Android: устройства, на которых установлен AOSP-обозреватель, подвержены взлому.
PoC-эксплойт уже появился на платформе Metasploit. Ее представители опубликовали бюллетень о бреши в XFO, снабдив его соответственным модулем для того, чтобы проверить устройства корпоративных заказчиков и найти уязвимости. Исследователи информационной безопасности Rapid7, в том числе уже известный Тод Бирдсли (Tod Beardsley), утверждают, что брешь X-Frame-Options в сочетаниями с багами в устаревшем компоненте WebView, используемом в версиях Android 4.3 (Jelly Bean) и ниже, предоставляет хакерам возможность устанавливать любые приложения из Google Play на взломанные устройства.
«При установлении сторонних браузеров пользователи по незнанию подвергают свои устройства угрозам, — утверждает эксперт. – Пока изъян в XFO не будет исправлен в Google Play, пользователи и их персональная информация будут под ударом с момента входа в учетную запись в Google».
Бирдсли объяснил, что устройства на базе версий Android старше Jelly Bean при использовании более не поддерживаемого Google компонента WebView, открыты для UXSS-атак через браузер. У пользователей в данный момент есть только два выхода: использовать браузер, не подверженный известных UXSS-уязвимостям (например, Google Chrome или Mozilla Firefox) или вообще держаться от Google Play подальше, пока Google не устранит проблему.
