Nie ucichły jeszcze echa związane ze szkodliwym oprogramowaniem funkcjonującym w Android Market, a tu pojawiają się kolejne doniesienia na temat zagrożenia bezpieczeństwa dla użytkowników systemu. Tym razem zagrożenie pojawiło się w Android Market Web Store.

Android Market Web Store

Dziura została wykryta w kodowaniu XSS przeglądarkowej wersji sklepu. Za jej sprawą urządzenia stały się podatne na instalację aplikacji bez konieczności wyrażania zgody przez użytkownika. Wykorzystując skrypt umieszczony w polu opisu danego programu, atakujący mieli możliwość zdalnej instalacji oprogramowania na sprzęcie nieświadomego właściciela. To pozwalałoby na dalsze czynności, łącznie z uruchamianiem złośliwego oprogramowania.

Lukę w zabezpieczeniach wykrył specjalizujący się w tej tematyce Jon Oberheide. Zgłosił ją już do Google, które dokonało już niezbędnych zmian i usunęło dziurę. Oberheide planował wykorzystać spreparowany w oparciu o swoje odkrycie exploit by zdobyć $15,000 nagrody w konkursie Pwn2Own. Postąpił jednak inaczej, zrzekając się tym samym potencjalnej wygranej. Nie pozostaje nic, tylko dziękować.

Comments are closed.