Android-смартфоны уязвимы к атакам через просматриваемые web-страницы

Брешь позволяет перехватить cookie текущей сессии и получить полный контроль над сеансом пользователя.

В Metasploit, популярном среди исследователей безопасности наборе инструментов для проведения тестов на проникновение, появился новый модуль, позволяющий эксплуатировать опасную уязвимость в 75% всех смартфонов на базе ОС Android. Брешь дает возможность осуществить перехват web-страниц, просматриваемых жертвой. Об этом сообщает The Register.

Речь идет об уязвимости CVE-2014-6041, затрагивающей Android 4.4 (а также более ранние версии). Обнаружить ее удалось еще 1 сентября этого года независимому исследователю Тоду Бердсли (Tod Beardsley), который назвал брешь "катастрофой приватности".

"На практике это значит, что любой произвольный портал, находящийся под контролем злоумышленника, позволяет ему получить доступ к другим ресурсам, просматриваемым жертвой, – пояснил Бердсли. – Если вы зашли на такой сайт, а в соседней вкладке открыта почта, то атакующие могут с легкостью просмотреть ее или удалить все что им захочется".

Стоит отметить, что брешь также предоставляет атакующему возможность перехватить cookie текущей сессии и получить полный контроль над сеансом пользователя – то есть просматривать и изменять произвольные данные с привилегиями владельца устройства.

Tweet