20.10.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Android-смартфоны уязвимы к атакам через просматриваемые web-страницы

В Metasploit, популярном среди исследователей безопасности наборе инструментов для проведения тестов на проникновение, появился новый модуль, позволяющий эксплуатировать опасную уязвимость в 75% всех смартфонов на базе ОС Android. Брешь дает возможность осуществить перехват web-страниц, просматриваемых жертвой. Об этом сообщает The Register. Речь идет об уязвимости CVE-2014-6041, затрагивающей Android 4.4 (а также более ранние версии). Обнаружить ее удалось еще 1 сентября этого года независимому исследователю Тоду Бердсли (Tod Beardsley), который назвал брешь «катастрофой приватности». «На практике это значит, что любой произвольный портал, находящийся под контролем злоумышленника, позволяет ему получить доступ к другим ресурсам, просматриваемым жертвой, — пояснил Бердсли. — Если вы зашли на такой сайт, а в соседней вкладке открыта почта, то атакующие могут с легкостью просмотреть ее или удалить все что им захочется». Стоит отметить, что брешь также предоставляет атакующему возможность перехватить cookie текущей сессии и получить полный контроль над сеансом пользователя — то есть просматривать и изменять произвольные данные с привилегиями владельца устройства.