В Metasploit, популярном среди исследователей безопасности наборе инструментов для проведения тестов на проникновение, появился новый модуль, позволяющий эксплуатировать опасную уязвимость в 75% всех смартфонов на базе ОС Android. Брешь дает возможность осуществить перехват web-страниц, просматриваемых жертвой. Об этом сообщает The Register.
Речь идет об уязвимости CVE-2014-6041, затрагивающей Android 4.4 (а также более ранние версии). Обнаружить ее удалось еще 1 сентября этого года независимому исследователю Тоду Бердсли (Tod Beardsley), который назвал брешь «катастрофой приватности».
«На практике это значит, что любой произвольный портал, находящийся под контролем злоумышленника, позволяет ему получить доступ к другим ресурсам, просматриваемым жертвой, - пояснил Бердсли. - Если вы зашли на такой сайт, а в соседней вкладке открыта почта, то атакующие могут с легкостью просмотреть ее или удалить все что им захочется».
Стоит отметить, что брешь также предоставляет атакующему возможность перехватить cookie текущей сессии и получить полный контроль над сеансом пользователя — то есть просматривать и изменять произвольные данные с привилегиями владельца устройства.
Подробности тут.
_______________________________________
Источник: securitylab.ru