Пользователи, сидящие на android-мобильниках и юзающие (с них) свои криптокошельки, подвержены риску взлома из-за новой уязвимости, которая позволяет использовать сервис MediaProjection для захвата экрана и аудио контента. Примерно ¾ из всех android-пользователей подвержены этому риску, поскольку ошибка выявлена на платформах Lollipop, Marshmallow и Nougat.
А создал сей риск Google начиная с версии Lollipop 5.0. До этого релиза функциональность MediaProjection была доступна только для приложений на системном уровне и только с использованием ключей.
Когда происходит захват экрана, на телефоне пользователя выскакивает уведомляющая об этом запись. Однако, хакер, не особо заморачиваясь, может перекрыть эту запись вторым всплывающим окном (tapjacking).
Коммент экспертов:
— «Кроме того, всплывающее окно SystemUI является единственным доступным механизмом контроля доступа, который предотвращает злоупотребление службой MediaProjection. Злоумышленник может тривиально обойти этот механизм, используя разворачивание этого всплывающего окна с использованием общеизвестных методов, чтобы предоставить своим приложениям возможность захвата экран пользователя.»
Перевод — единственный метод отконтролить такое подключение — всплывающее окно. Это самое окно любой хакер без особых проблем подменяет на менее пугающее. Профит.
Google предлагает исправление лишь в версии Oreo (8.0), но все предыдущие версии подвержены риску. Пользователи криптокошельков, использующие свой мобильник для, соответственно, использования кошельков (сори за тавтологию) подвержены серьезному риску и им всем предлагается обновить свои системы защиты.
Будьте внимательны и следите за своими кошельками!
#хакеры #криптовалюта #криптокошелек #биткойн #взлом #уязвимость #андроид