Дайджест событий мобильной безопасности (выпуск 14)
Майские обновления. Google устраняет больше ста Android-уязвимостей, 17 из которых критические.
«Главной» из них стала очередная уязвимость компонента Mediaserver. С ее помощью злоумышленник может удаленно выполнить код на устройстве, используя электронную почту, браузер или MMS.
Google также исправила четыре уязвимости в компонентах Qualcomm, позволяющие повысить привилегии до суперпользователя.
Google Securitylab Securityweek
Android-приложения, ультразвук, слежка: cпециалисты Брауншвейгского университета представили доклад, добавляющий аргументации любителям одеть на голову изделия из фольги.
А именно — на сегодняшний день существуют 234 Android-приложения, которые обладают возможностью обнаруживать специальные ультразвуковые маячки.
Технологию назвали «uXDT» (ultrasound cross-device tracking, ультразвуковой межустройственный трекинг), принцип работы заключается в том, что в рекламу можно поместить ультразвуковой маячок, который не услышит человеческое ухо, но уловит микрофон девайса (смартфона, ноутбука и пр.), при этом, если на устройстве установлено приложение, чей SDK содержит функциональность по поиску таких маячков, то оно сообщит на удаленный сервер о том, пользователь, который владеет телевизором X и только что прослушал рекламу, которую также «слышал» смартфон Y. Все это позволит составить более полный профиль пользователя, узнать какими устройства тот владеет, чем интересуется, когда бывает дома и так далее.
Тревога специалистов связана с тем, что по сравнению с 2015 годом, количество приложений, способных работать с uXDT выросло на порядок.