10 lutego eksperci z Rapid7 odkryli poważną lukę w zabezpieczeniach sklepu Google Play.

Luka pozwala atakującemu na instalowanie aplikacji na smartfonie z systemem Android bez wiedzy właściciela.

Do zainstalowania aplikacji bez wiedzy użytkownika atakujący musi wykorzystać tylko dwie luki bezpieczeństwa. Jedną z nich przeglądarka internetowa smartfonu a druga to luka w Google Play. Przeglądarki internetowe w smartfonach z Androidem 4.3 lub starszymi zwykle nie są uaktualnione do najnowszej wersji. Starsze przeglądali luję lukę UXSS, a co za tym idzie lukę w Google Play. Wykorzystanie tej luki pozwala atakującemu zainstalować aplikację bez uruchamiania interfejsu sklepu.

W celu ochrony przez tym atakiem należy uaktualnić system Android. Ponad to zaleca się korzystanie z przeglądarek odpornych na ataki UXSS jak Google Chrome, Dolphin Browser i Mozilla Firefox. Warto sprawdzać czy przeglądarka jest zaktualizowana. Aby być w pełni bezpiecznym eksperci radzą wylogować się ze sklepu podczas surfowania po internecie.

Źródło: Androidinsider.ru