Парочка уязвимостей, имеющаяся во всех версиях операционной системы Google Android, кроме новейшей KitKat, может позволить вредоносному приложению превысить свой уровень полномочий для совершения и прекращения телефонных вызовов, а также для отправки кодов USSD или MMI.

Марко Люкс и Педро Умбелино из Curesec заявили, что они сообщили Google о проблеме и выжидали несколько месяцев, прежде чем обнародовать свои открытия. Threatpost обратился к Google за подтверждением, но на момент публикации ответа не получил.

«Баг может быть использован вредоносным приложением, — написали Люкс и Умбелино. — Возьмите простую игру, которая содержит этот код. Эта игра не запросит у вас дополнительных разрешений, чтобы звонить на премиумный номер, — она просто сможет это делать».

В дополнение к возможному мошенничеству через звонки на премиумные номера и разрыву легитимных разговоров пользователя также имеется риск отправки USSD-кодов.

«Список кодов USSD/SS/MMI длинен, и среди них есть несколько мощных вроде включения перенаправления, блокирования SIM-карты, включения и выключения анонимизации и так далее».

Первый баг, в com.android.phone.PhoneGlobal$NotificationBroadcastReceiever, относится к выполнению и завершению голосовых вызовов. Исследователи отметили, что он также может быть использован для отправки SMS-сообщений, хотя они и назвали этот элемент «наименее интересным», так как это требует действий от пользователя. Второй баг, в PhoneApp.Java, ведет к отправке кодов MMI и USSD.

Для совершения такого рода действий в нормальных условиях приложения должны запрашивать у пользователя разрешение. Исследователи объяснили, что инструменты, которые отменяют разрешения, не смогут блокировать эти атаки, так как баги подрывают модель разрешений в целом.

Согласно Люксу и Умбелино, эти уязвимости связаны ошибкой, которую они обнаружили благодаря комментариям программиста в коде Android. Листая код платформы Android, исследователи увидели комментарий программиста к классу NotificationBroadcastReceiver, в котором говорилось: «Это должно быть видимо снаружи, но не должно быть в состоянии «exported».

Эту пару ошибок, которая, как полагают исследователи, появилась в какой-то момент, но не была удалена, можно использовать.

Исследование Curesec включает доказательство концепции, которое читатели могут опробовать на собственных устройствах. При этом они должны понимать, что принимают на себя ответственность за любой возможный ущерб, нанесенный эксплойтом.

Категории: Уязвимости