За устройства, които разполага с повече лични данни от средностатистическия компютър, смартфоните са с доста по-ниско ниво на сигурност. Учени от университета на Калифорния и университета на Мичиган са открили нова сериозна пролука в сигурността на мобилните платформи и приложения, съобщава онлайн изданието ZDNet.

Оказва се, че хакерите безпроблемно могат да получат достъп до устройствата на потребителите само като успеят да ги убедят да инсталират някакво тяхно приложение. То може и да е съвсем невинно на вид, например анимиран фон за началния екран.

То осигурява достъп до т.нар. споделена памет, в която приложенията поставят информация, която ще бъде изпращана по мрежата. Съдържанието на паметта се променя според активността на приложенията. Когато потребител активно използва дадено приложение, например Gmail, това се отбелязва в тази споделена памет.

Ако хакерите следят в реално време тези промени, могат да разбират какво върши потребителят. Учените са тествали метода в Android и седем популярни приложения. Оказва се, че в шест от тях успешните прихващания на информация са в 82% и 92% от атаките. Приложенията са Gmail, H&R Block, Chase, Newegg, WebMD, Hotels.com.

Седмото приложение е това на Amazon. То регистрира и най-ниска успеваемост на атаките - 48%. Причината за по-доброто представяне е различният метод на работа на софтуера. Програмата на Amazon позволява една дейност да преминава в друга без необходимост от превключвания и прехвърляния на информация.

Учените допълват, че този тип атаки не са чак толкова лесни за осъщестяване, защото потребителят може да забележи, че приложенията му не се държат както обикновено. Те обаче са открили начин как да прикриват атаките и значително да намалят вероятността човек да заподозре, че има нещо нередно.

Според тях тези атаки са възможни и на други платформи, включително iOS, но предстоят тестове, за да се уверят колко голям е рискът. За сега нито една платформа не изисква допълнителни разрешения от приложенията, за да имат достъп до тази памет. Учените съветват потребителите да не инсталират приложения, които не са от доверен източник.

Макар и качени от известно време в интернет, учените едва сега разпространяват материалите си, защото са провеждали допълнителни тестове и са искали да се убедят в коректността на откритието си. Във видеото е показана и демонстрация на атаката в Android. То отбелязва, че въпросното атакуващо приложение официално изисква само достъп до мрежата, което за всеки потребител би означавало, че то не "чете" данните му. Оказва, че това не е така и всъщност жертвата на бърза ръка разкрива името и паролата си, като същевременно се разделя и с малко пари.