Исследователи из Rapid7 снова огорчили пользователей Android неприятными новостями. Несколько уязвимостей в магазине Google Play позволяют злоумышленникам устанавливать приложения без ведома пользователей. Как и во многих других случаях, во всем снова виноват  штатный браузер Android: устройства, на которых установлен AOSP-обозреватель, подвержены компрометации.

PoC-эксплойт уже появился на платформе Metasploit. Ее представители опубликовали бюллетень о бреши в XFO во вторник, снабдив его соответственным модулем для проверки устройств корпоративных заказчиков на предмет наличия уязвимости.

ИБ-исследователи Rapid7, в том числе уже известный Тод Бирдсли (Tod Beardsley), утверждают, что брешь X-Frame-Options в сочетании с багами в устаревшем компоненте WebView, используемом в версиях Android 4.3 (Jelly Bean) и ниже, предоставляет  хакерам возможность устанавливать любые приложения из Google Play на скомпрометированные устройства.

Бирдсли объяснил, что устройства на базе версий Android старше Jelly Bean при использовании более не поддерживаемого Google компонента WebView открыты для UXSS-атак через браузер.

«При установке сторонних браузеров пользователи по незнанию подвергают свои устройства угрозам, — утверждает эксперт. — Пока изъян в XFO не будет исправлен в Google Play, пользователи будут под ударом с момента входа в учетную запись в Google».

У пользователей в данный момент есть только два выхода: использовать браузер, не подверженный известным UXSS-уязвимостям (например, Google Chrome или Mozilla Firefox), или вообще держаться от Google Play подальше, пока Google не устранит проблему.

Категории: Главное, Уязвимости