Команда исследователей из университета Индианы и Microsoft объявили о потенциально важных, крупных недостатках безопасности в операционной системе Android.

Каждое последующее обновление Android удаляет и заменяет тысячи файлов на смартфоне, каждый из которых имеет определенные атрибуты и привилегии в пределах файловой системы.

В то время, как новое обновление имеет ошибку, которую исследователи прозвали «Pileup». Она позволяет паразитирующим вредоносным приложениям внедряться в операционную систему смартфона под видом программного обеспечения, заменяя безопасные файлы во время обновления. Заменяемые файлы уже присутствуют в файловой системе и имеют соответствующие разрешения и полномочия.

Злоумышленники могут воспользоваться уязвимостью «Pileup», чтобы внедрить вредоносный JavaScript-код, который может предоставить им контроль пользовательских данных.

Команда исследователей обнаружила шесть «Pileup» уязвимостей в сервисе управления пакетами Android. Их присутствие подтверждено во всех версиях Android Open Source Project. Эксперты считают, что более миллиарда Android-устройств являются потенциально уязвимыми для «Pileup» атак.

Мы ждем ответа от Google по этому вопросу. В данный момент мы знаем, что компания была поставлена в известность о проблеме и к этому времени убрала одну из шести уязвимостей.