Proniknout do mobilní aplikace Gmailu je snadné

23. 8. 2014

Sdílet

 Autor: © Calado - Fotolia.com
Američtí experti oznámili, že byli schopni se s 92% úspěšností nabourat do mobilní aplikace Gmailu díky zneužití zranitelnosti v paměti smartphonu.

Experti při svém průniku do smartphonů byli schopni získat přístup k několika aplikacím, nejen ke Gmailu – zabezpečení mobilní aplikace od Googlu však bylo nejjednodušší prolomit. Útok byl prováděn na telefonu s Androidem, experti však věří, že bude fungovat i v jiných operačních systémech, tedy Windows Phone a iOS. Mluvčí Googlu uvedla, že její společnost výsledky tohoto testu vítá. „Díky výzkumu třetích stran je Android vždy o něco silnější a bezpečnější,“ uvedla mluvčí. Výsledky výzkumu budou prezentovány již brzy na konferenci týkající se kybernetické bezpečnosti v San Diegu experty z Michiganské univerzity a Kalifornské univerzity.

Mezi další aplikace, jež se podařilo zneužít, patří H&R Block, Newegg, WebMD, Chase Bank, Hotels.com a Amazon, přičemž nejtěžší bylo proniknout do aplikace od Amazonu, kde byla úspěšnost pouze 48 %. V rámci útoku se přistupuje ke sdílené paměti uživatelova chytrého telefonu s využitím nebezpečného softwaru, který se tváří jako neškodná aplikace – například pracovní plocha.

Tato sdílená paměť je využívána všemi aplikacemi a díky její analýze tak experti byli schopni zjistit, kdy se uživatel přihlásil do které aplikace, a věděli tak, kdy mají možnost ukrást přihlašovací údaje. „Obecně se vždy předpokládalo, že jednotlivé aplikace se vzájemně nemohou snadno ovlivňovat,“ uvedl Zhiyun Qian z Kalifornské univerzity. „My ukazujeme, že tento závěr není správný a jedna aplikace může v praxi značně ovlivnit druhou, což může v konečném důsledku uživateli způsobit značnou újmu.“

bitcoin školení listopad 24

Experti byli například schopni zneužít funkci v bance Chase Bank, která uživatelům umožňuje platit šeky pořízením fotografie fotoaparátem telefonu, a to tak, že bez vědomí uživatele přistupovali k aplikaci fotoaparátu a kradli obrázky přímo při jejich pořizování, tudíž získali přístup k osobním informacím včetně podpisu dané osoby. Není zatím jasné, zda na zmíněné konferenci bude předveden průnik také do telefonů s OS Windows Phone a iOS.