Filtrul automat Google responsabil cu scanarea aplicatiilor Android, numit "Bouncer", are lacune grave. O aplicatie de mobil a trecut de acest filtru si a fost lansata, desi fura toate datele din telefonul mobil al utilizatorului si le incarca pe serverul dezvoltatorului.
Nicolas Percoco si Sean Schulte de la compania de securitate online Trustwave au anuntat in cadrul conferintei Black Hat din Las Vegas ca o aplicatie a fost scanata in mai multe randuri de "Bouncer" si a trecut de filtrul Google, in ciuda faptului ca fura datele utilizatorilor, precum fotografii, adrese de email etc.
Aceasta eroare este cu atat mai grava cu cat telefoanele mobile care ruleaza Android sunt din ce in ce mai expuse atacurilor informatice, fiind printre cele mai slab securizate. Google anuntase filtrul "Bouncer" ca o rezolvare a acestei probleme in luna februarie 2012, mentionand ca filtrul este folosit inca din 2011. Un test efectuat de Nicolas Percoco si Sean Schulte a demonstrat insa cat de usor este trecut de acesta masura de securitate.
Cei doi au creat o aplicatie numita SMS Bloxor, pe care au upgradat-o treptat pentru a o transforma intr-un malware. SMS Bloxor putea sa copieze si uploadeze in secret datele de contact ale utilizatorului, sa copieze mesajele text si fotografiile din telefon, sa uploadeze istoricul convorbirilor si chiar sa foloseasca dispozitivul pe care era instalata pentru a pornii atacuri denial of service (DDoS) impotriva unei adrese web.
"Ne asteptam ca, la un moment dat sa fim prinsi. Dar nu s-a intamplat asa" au declarat Nicolas Percoco si Sean Schulte . Cand, tarziu, aplicatia a fost detectata ca malitioasa si scoasa din magazinul Google, contul celor doi a fost inchis, dar utilizatorii nu au fost anuntati ca datele lor personale fusesera furate.
Cei doi experti in securitate onlline avertizeaza ca acest tip de infractionalitati cibernetice sunt in dezvoltare, iar companiile ar trebui sa ia masuri pentru a-si proteja utilizatorii de fenomenul in crestere. "Urmeaza, in curand, o catastrofa care va afecta un numar foarte mare de utilizatori de dispozitive mobile, poate chiar milioane."
sursa: Technology Review, MIT
0 comentarii:
Comenteaza prin Blogger: