Недостаток может разрешить хакерам копировать изображения цифрового отпечатка пользователя от датчика телефона и применять его в другом месте без всяких последствий.У пользователей Android имеется новая неприятность безопасности для беспокойства о, в этом случае включая датчики цифрового отпечатка, которые имели возможность разрешить хакерам копировать изображение цифрового отпечатка пользователя и применять его, чтобы совершить приобретения либо совершить широкий спектр, предположительно, надёжных операций.Исследователи в FireEye нашли недостаток, названный «датчиком цифрового отпечатка, шпионя наступление», которое разумеется предоставляет доступ хакеров к огромному количеству пользовательских цифровых отпечатков по сотовым телефонам Android, сделанным Samsung, HTC и Huawei, согласно отчету 6 августа Consumerist.
Исследователи, которые нашли и сказали об уязвимости, Тао Вэе и Юйлун Чжане, заявили, что, «в силу того, что датчики устройств не заблокированы вниз производителями, она создает уязвимость, которая разрешает хакерам приобретать изображения цифровых отпечатков пользователей», согласно истории.Когда цифровые отпечатки взяты, атакующие тогда в состоянии применять изображения для выполнения роли жертвы окончательно, заявляет история.
Изучение идентифицировало проблему в сотовых телефонах, но возможно было также отыскать в других устройствах что датчики цифрового отпечатка применения, включая ноутбуки.Чжан «не имел возможности указать, какие устройства были более уязвимы для взлома, но вправду отмечали, что iPhone был ‘достаточно надёжен’, в силу того, что это шифрует эти цифрового отпечатка», сказала история.Производители оборудования с того времени обеспечили патчи для восстановления уязвимости после того, как о ней сказали исследователи.В июле второй недостаток Android был обнаружен исследователями с компанией безопасности Zimperium, что возможно представил примерно 950 миллионов пользователей для риска.
Уязвимость сочтена в Android библиотекой носителей Stagefright, которая есть неспециализированным элементом в предположениях Android 2.2 и выше. Тот недостаток включил MMS (Работа обмена мультимедийными сообщениями) сообщения, которые отправляются пользователям Android, которые машинально обрабатываются с библиотекой носителей Stagefright.
Недостатки в значительной мере являются целочисленными переполнениями, которые приводят к возможно годным для применения условиям переполнения буфера памяти, согласно недавнему отчету о eWEEK.Ранее на этой неделе Google заявил, что поддерживает безопасность в собственном Android мобильная ОС через введение новых ежемесячных обновлений совокупности защиты, которые будут выпущены беспроводные (OTA) к широкому спектру мобильных устройств Nexus, согласно отчету о eWEEK.
Первое такое обновление совокупности защиты начало развертывать 5 августа к устройствам включая Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9, Nexus 10 и Плеер Nexus. Первое обновление совокупности защиты включает исправления для неприятностей, сказал с июля 2015, включая исправления для libStageFright уязвимостей.
Исправления будут также выпущены в один момент общественности посредством Проекта Открытого исходного кода Android. Устройства Nexus будут получать главные обновления в течение по крайней мере двух патчи и лёт безопасности в течение трех лет от начальной доступности либо 18 месяцев от последней продажи устройства через Гугл Store, какой бы ни более длинно.Дополнительный шаг есть последним в арсенале Android для их устройств и защиты клиентов, согласно Гугл.
В июне Гугл заявил, что оплатит тысячи долларов исследователям, которые находят и информируют об уязвимостях в Android мобильная ОС, потому, что часть новой субсидии неточности программирует представленную компанию. Безопасность Android Бонусная программа основывается на формате, применяемом в известной ищущей неточность инициативе компании для ее веб-браузера Chrome. Исследователи в области безопасности ПО, которые находят неприятности поддающиеся проверке и раскрывают их следующим инструкции компании, могут получить до 38 000$ за проблему.
Программа есть частью упрочнений Гугл укрепить платформу Android.Нужные исследователи для уязвимостей не являются новой идеей. В 1995 Netscape начал инициативу оплатить программистам за нахождение неточностей в его новаторском программном обеспечении веб-браузера.
В 2002 Verisign iDefense создал первую стороннюю программу, предложив платить исследователям за данные об неточностях в популярном программном обеспечении предприятия. Сейчас, компании, такие как HackerOne и Bugcrowd, предлагают сторонние услуги, чтобы создать и руководить программами вознаграждения уязвимости.Бонусная программа и Безопасность будет третьей инициативой субсидии неточности Гугл.
Компания имеет две вторых премиальных программы и выплатила больше чем $1,5 миллиона в прошедшем сезоне исследователям. Сейчай Гугл платит за уязвимости совокупности обеспечения безопасности, отысканные в веб-браузере Chrome в соответствии с его Премиальной Программой Chrome и случайной борьбой Хрома. Гугл Vulnerability Reward Program (VRP), его вторая программа субсидии, платит финансовый приз исследователям, которые находят недостатки в Веб-сайтах компании, включая Гугл.com, YouTube.com и Блоггера.С ее последней субсидией неточности компания увеличит собственную выплату для повреждения средств поиска для более подробных представлений уязвимости.
Призы запускаются на уровне 500$ для умеренной неприятности, 1 000$ для весьма значительной неприятности и 2 000$ для уязвимости, которую разглядывают критически серьёзной.