Пока Google работает над «заплаткой»,
Android-устройства могут быть взломаны через Wi-Fi
В сеть просочилась информация от анонимного источника со ссылкой на доклад Ars Technica.
Было установлено, что большое количество смартфонов и планшетов на базе Android уязвимы для атак, использующих Wi-Fi–ловушки, с целью получения полного контроля над мобильными устройствами. Данное допущение было с успехом продемонстрировано на практике.
Уязвимость была обнаружена в чипсетах Wi-Fi SoC, производства Broadcom, которые широко используется как в iOS, так и в Android-устройствах.
Между тем, Apple исправила изъян, оперативно выпустив еще 3 апреля специальный патч iOS 10.3.1. В описании угрозы говорится о том, что данная уязвимость позволяет злоумышленнику выполнить произвольный код для Wi-Fi чипа устройства, находящегося в зоне действия Wi-Fi–ловушки. Патч предназначен для установки на iPhone - версия 5 и выше, iPad – 4 поколение и выше, iPod – 6 поколение и выше.
Что касается Android, то команда Project Zero фирмы Google опубликовала 4 апреля очень подробную статью эксперта, который обнаружил данный изъян. В ней говорится, что использование уязвимости позволяет запустить вредоносный код на смартфоне, находящемся в зоне действия Wi-Fi–ловушки без малейшего вмешательства владельца телефона. В качестве «подопытного» в проведенном эксперименте использовался Nexus 6P, полный апдейт, работающий под Android 7.1.1, версия NUF26K. После установки соответствующей «заплатки», проблема была решена.
К зоне риске эксперт относит все устройства, использующие вышеупомянутый популярный Wi-Fi чипсет. А это Nexus 5, 6 и 6P, большинство флагманских моделей Samsung, а также все iPhone, начиная с iPhone 4.
В настоящий момент Google находится в процессе подготовки окончательного релиза апдейта для Android-устройств, который будет выпущен в апрельском бюллетене безопасности. Исправления пока готовы только для ограниченного количества моделей, но даже для них потребуется более двух недель, чтобы сделать эти обновления доступными через сотовую сеть. Дополнительных комментариев от компании Google пока не поступало.
09.04.2017 г.
Источники информации: it.slashdot.org, support.apple.com, googleprojectzero.blogspot.com