Уязвимость обнаружена и ликвидирована

Резидент «Сколково» обнаружил критическую уязвимость в Android 11 и получил благодарность от Google

Сотрудники компании «Стингрей Технолоджиз», резидента Кластера информационных технологий Фонда «Сколково», обнаружили критическую уязвимость в операционной системе Android.

Она позволяла реализовать подмену любого приложения на устройстве пользователя без прав администратора и специальных разрешений.

Злоумышленники, эксплуатируя данную уязвимость, могли подменить любое приложение на вредоносное, похитить учетные данные пользователя и получить доступ к любым сервисам на смартфоне: банковским приложениям, социальным сетям, электронным кошелькам и т.д. При этом механизм двухфакторной аутентификации от использования данной уязвимости не спасал.

Данную уязвимость эксперты «Стингрей Технолоджиз» обнаружили в результате исследований потенциальных новых векторов атак на приложения Android, которыми они занимаются при  разработке системы динамического анализа «Стингрей». Информация об уязвимости незамедлительно была передана разработчику платформы Android.

29 октября компания Google выпустила обновление с исправлением данной уязвимости, единственной критической в 11 версии Android, а экспертов сколковской компании Юрия Шабалина и Евгения Блашко включила в список персональных благодарностей.

Юрий Шабалин, генеральный директор компании «Стингрей Технолоджиз», сказал: «В мире порядка 3,5 миллиарда смартфонов, более 74% из них работают на Android. Я горд тем, что исследования, которые мы проводим, приносят пользу не только нашим клиентам, но и  всем пользователям этой мобильной операционной системы».

Михаил Стюгин, руководитель направления «Информационная безопасность» Фонда «Сколково», говорит: «Мы очень рады, что в компаниях-участниках “Сколково” работают эксперты, которые обеспечивают положительное влияние на вектор безопасности программного обеспечения в глобальном, мировом масштабе. По нашему мнению, “Стингрей” является перспективным проектом, который существенно повлияет на безопасность всех приложений из экосистем iOS и Android. И, возможно, в ближайшей перспективе станет незаменимым инструментом всех разработчиков программного обеспечения для мобильных платформ».

О системе

Система «Стингрей» (разработчик — ООО «Стингрей Технолоджиз») — решение для поиска уязвимостей и автоматизации тестирования информационной безопасности в мобильных приложениях на базе технологий машинного обучения. «Стингрей» позволяет существенно сократить время анализа защищенности приложений для мобильных платформ в ходе непрерывного процесса разработки DevSecOps. В 2019 и 2020 гг. проект «Стингрей» стал финалистом конкурса Skolkovo Cybersecurity Challenge. ООО «Стингрей Технолоджиз» является участником проекта “Сколково” с 2020 года.

 

Похожие записи