Výzkumníci z Gruzie odhalili nový způsob, kterým by aplikace na Androidu mohly provádět škodlivou činnost. Metoda vyžaduje, aby aplikace měla dvojici oprávnění – vykreslovat na vrchu a přístupnost (umožňuje ovládání nevidomým). Aplikace potom může uživatele zmanipulovat k provádění akcí, které nevidí, protože jsou skryty pod další vrstvou rozhraní – aplikace.
Zranitelnost se nachází ve všech verzích Androidu, ale nezdá se, že by byla zneužívána v praxi. Každopádně Google ji nějak bude muset vyřešit, protože nebezpečí pro uživatele je velké. Např. nevědomky může být vmanipulován do instalace další aplikace se všemi oprávněními. Základním řešením je kontrolovat všechny aplikace, které relativně vzácnou kombinaci oprávnění požadují.
Podle výzkumníků byl Google informován již v srpnu minulého roku, ale věc nepovažoval za problematickou ani po dalších urgencích zranitelnost neopravil.
(Zdroj: Security Affairs)
