Кілька днів тому фахівці розповіли про те, як одним MMS-повідомленням можна зламати Android-смартфон через вразливість Stagefright. Сьогодні на конференції з безпеки група дослідників продемонструвала, як це можна зробити ще простіше, перехопивши управління смартфоном за допомогою підробленого додатка або простого SMS.
Проблема криється в мобільному інструменті віддаленої підтримки. Виробники часто встановлюють цю програму для того, щоб фахівці змогли допомогти користувачеві розібратися у проблемах на смартфоні. З його допомогою сервіс підтримки отримує повний доступ до пристрою і здатний керувати ним віддалено. Ніяких іконок на робочому столі із цим додатком знайти не вдасться.
Група дослідників Check Point продемонструвала, як за допомогою підробленого сертифіката можна отримати повний доступ до цього додатка. Для цього є два шляхи: установка користувачем якоїсь підробленої програми, наприклад, ліхтарика, або відправлення на пристрій жертви SMS, яке змусить інструмент віддаленого управління виконати будь-яку команду.
Check Point уже повідомила про уразливість Google багатьом виробникам смартфонів. Крім того, у магазині Google Play опублікували сканер, який дозволить дізнатися, чи встановлено на смартфоні додаток віддаленого доступу.