Мобильная платформа Android страдает от нехватки эффективного механизма обновления ОС. В отличие от iOS ее разработку ведут разные производители, которые не заботятся об обновлении устройств, выпущенных несколько лет назад. Эксперты создали эксплойт, который позволяет хакеру взломать три из четырех устройств на этой платформе, используя уязвимость годичной давности.
Как сообщает Cnews, специалисты по информационной безопасности из компании Rapid7 написали эксплойт, позволяющий взломать 73% устройств на Android. Примечательно, что уязвимость была обнаружена еще в декабре 2012 года. Она находится во встроенном в Android веб-браузере, в компоненте WebView, и позволяет злоумышленнику исполнить на устройстве произвольный код.
Для заражения устройства необходимо, чтобы его владелец посетил вредоносный сайт. Заставить его сделать это можно различными способами. Исследователи в качестве примера привели вредоносную ссылку, закодированную в QR-коде. Пользователь может считать такой код в любом рекламном объявлении, ничего не подозревая.
Примечательно, что уязвимость, которой воспользовались специалисты Rapid7, касается устройств любых типов, не только смартфонов и планшетов. Пользователь Джошуа Дрейк сообщил в твиттере, что ему удалось запустить эксплойт на очках Google Glass.
Процент устройств аналитики вычислили довольно просто. Дело в том, что уязвимость содержится во всех версиях Android ниже 4.2. Цифра была получена из официальной статистики Google.
Несмотря на то, что в Android 4.2 уязвимость была устранена, риску по-прежнему подвержено большинство пользователей. И именно на это эксперты хотели обратить свое внимание. По их мнению, проблема кроется в отсутствии у Google единого центрального механизма распространения обновлений, как, например, в Microsoft Windows: многие производители не заботятся об обновлении устройств, выпущенных несколько лет назад с предыдущими версиями платформы.
Между тем, в июле прошлого года сообщалось о еще более масштабной уязвимости – затрагивающей 99% устройств на Android, о которой мы писали на WapStat.info. Она была обнаружена специалистами компании Bluebox и содержалась во всех версиях Android, начиная с 1.6, выпущенной 4 года назад.
