Дослідники NC State University провели дослідження восьми телефонів Android (HTC Legend, EVO 4G та Wildfire S; Droid і Droid X, Motorola X; Samsung Epic 4G; Nexus One і Nexus S від Google) і виявили більше потенційно тривожної інформації. Хоча телефони Nexus та OG Droid (телефони, на яких працює Android) мали одну незначну проблему із безпекою, а саме помилку з кодом у додатку pico, яка дозволила б іншому програмі видалити програму інсталятора pico, решта згуртованих пакетів не відбулася так добре. У всіх телефонах з налаштованими версіями Android були серйозні проблеми із безпекою
Зокрема, користуючись цими можливостями витоку, ненадійний додаток на цих постраждалих телефонах може стерти дані користувачів на телефонах, надсилати SMS-повідомлення (наприклад, на преміальні номери), записувати розмову з користувачем або отримувати геолокації користувача - все, не запитуючи дозволу.
Очевидно, оскільки системні програми, побудовані такими постачальниками, як HTC, Moto та Samsung, підписані одним і тим же цифровим ключем підпису, вони можуть взаємодіяти і отримувати доступ до даних один одного. Хоча це серйозна вада безпеки, можливо також, що це було зроблено за допомогою дизайну, щоб такі програми, як Friendstream або Social Hub, могли легко проаналізувати дані додатків у соціальних мережах та зібрати їх, і ці дослідники просто знайшли новий метод для використання цієї системи.
Хоча наслідки для Android нові, ідея використовувати атаки на популярні обчислювальні платформи не є. По мірі зростання популярності Android все більше людей будуть зосереджені на пошуку (та звітуванні) про експлуатацію проти ОС. Дослідники з повагою повідомляли про цю проблему Google та всім виробникам ПВТ, хоча вони висловлюють труднощі у взаємодії з HTC та Samsung, які (станом на це написання), як стверджують, дослідники "дуже повільно реагували, якщо не ігнорували наші звіти / запити".
Ви повинні турбуватися? Не більше, ніж ви були вчора. Зловмисне програмне забезпечення існує тому, що цілий пекло багато людей використовує Android, і користувачі не обмежуються встановленням лише затверджених програм. Якщо такі типи звітів вас турбують - і це досить вагома відповідь - у вас все ще є можливість встановити лише надійні програми відомих розробників, або інші варіанти не запускати пошкоджені мікропрограми на вашому телефоні. І хоча ніхто не хоче почути, як я це повторюю (але я все одно збираюся), пристрої Nexus під керуванням Android, як це було написано, знову захищені від цих серйозних проблем, тому завжди кращий вибір, якщо ви цінуєте свою безпеку.
Джерело: CSC NC State University (.pdf)
