Kalendář
  • 19.1.2018ShmooCon
AEC v1.0.4

Kyber bezpecnost
@Kyberbezpecnost.cz

Neopravená zranitelnost Androidu “Cloak & Dagger”

30. 5. 2017

Share Button

Zranitelnost využívá oprávnění draw on top a a11y umožňujících překrývat obsah jiných aplikací. Tato oprávnění dostane aplikace stažená z Google Play Store bez nutnosti vyžádat si souhlas uživatele. Tým z University of California a Georgia Institute of Technology prakticky předvedl funkci takové škodlivé aplikace (například krádež hesla nebo instalace další škodlivé aplikace s plnými oprávněními). Navíc se jim vlastní aplikaci využívající zranitelnost a sloužící ke stažení škodlivého kódu z internetu bez problému podařilo dostat do Google Play Store.

Share Button

Komentáře