Мемуары о будущем

Дмитрий Беляев

Кликджекинг: Android-гаджеты в опасности

Опубликовано: 6 марта 2016 года






Новое вредоносное программное обеспечение обнаружили специалисты компании Skycure, специализирующейся в области безопасности мобильных устройств. Кликджекер угрожает 500 миллонам Android-смартфонов по всему миру.

Кликджекинг опасен тем, что доступ к смартфону или планшету злоумышленники получают, заставляя пользователя кликать на, казалось бы, безопасные элементы интерфейса.

Для реализации этого метода хакеры создают специальный веб-сайт, который внешне не внушает подозрений, однако содержит вредоносный код.

Методы кликджекинга применялись и ранее. Разработчики вредоносных сайтов использовали недостатки механизмов авторизации в популярных сервисах и преимущественно осуществляли «накрутку» количества лайков и репостов, однако теперь переориентировались на Android-сегмент и персональные данные.

Новый метод взлома позволяет хакерам украсть текстовую информацию, в том числе конфиденциальную, а также выполнять на зараженном смартфоне действия, о которых пользователь может даже не подозревать.

SMS, электронные письма, сообщения из мессенджеров и др. — всё это оказывается под угрозой.

Кроме того, кликджекеры могут изменить права администрирования устройства и создать новый аккаунт администратора. В результате у злоумышленников может появиться возможность удаленного управления устройством, изменения пароля и удаления всех данных.

Как это работает

В качестве наглядного примера работы кликджекера эксперты выложили ролик с игрой «Рик и Морти». Клики во время игры активируют невидимый слой операционной системы. Завершение игры означает, что жертва предоставила злоумышленникам права доступа к множеству функций устройства.

А вот как на самом деле работает кликджекер при получении прав администратора:

По словам экспертов, 65% смартфонов под управлением Android версий от 2.2 до 4.4 включительно, находятся под угрозой. Обновление до Android 5.0 больше не позволит хакерам использовать кликджекинг, по крайней мере, существующими сегодня методами.

Источник: hi-tech.mail.ru

P.S.

Кликджекинг (англ. Clickjacking) — механизм обмана пользователей интернета, при котором злоумышленник может получить доступ к конфиденциальной информации или даже получить доступ к компьютеру пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасную страницу.

Принцип основан на том, что поверх видимой страницы располагается невидимый слой, в который и загружается нужная злоумышленнику страница, при этом элемент управления (кнопка, ссылка), необходимый для осуществления требуемого действия, совмещается с видимой ссылкой или кнопкой, нажатие на которую ожидается от пользователя. Возможны различные применения технологии — от подписки на ресурс в социальной сети до кражи конфиденциальной информации и совершения покупок в интернет-магазинах за чужой счёт.

Термин «кликджекинг» впервые использовали специалисты по информационной безопасности Роберт Хансен и Еремия Гроссман. Они обнаружили уязвимость нулевого дня в продуктах Adobe и в браузерах компаний Microsoft и Mozilla, которая позволяла получить доступ к компьютеру жертвы атаки.



1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: