В сервисе BlackBerry World обнаружена уязвимость, позволяющая злоумышленникам внедрять вредоносные программы в устройства пользователей посредством спуфинг-атак. Брешь затрагивает владельцев смартфонов на базе BlackBerry 10, использующих виджет BlackBerry World для поиска и загрузки приложений. Как сообщают специалисты компании BlackBerry, уязвимость находится в механизме сервиса загрузки и позволяет злоумышленникам совершать атаки “человек посередине”.
В ходе проведения атаки вредоносная программа преступников маскируется под настоящий сервис, поэтому пользователь уверен, что загружает легитимные приложения из официального источника, в то время как на самом деле происходит установка вредоносного ПО с подложного web-сайта. Вредонос позволяет преступникам получить доступ к любым данным или настройкам приложения, которые были разрешены пользователем.
В компании подчеркивают, что факторы риска клиентов BlackBerry ограничиваются необходимостью соединения с сетью злоумышленников и невозможностью форсирования эксплуатации уязвимости без участия пользователя. Для успешной эксплуатации бреши, преступнику необходимо перехватить запрос на загрузку или обновление приложения на сервисе BlackBerry World и заменить ответ сервера вредоносным файлом, который должен быть установлен пользователем. В настоящее время компания BlackBerry уже выпустила исправленное обновление ОС BlackBerry 10. Для уменьшения риска инфицирования мобильных устройств клиентов, использующих уязвимые версии операционной системы BlackBerry 10, для всех загрузок с сервиса BlackBerry World применяется шифрование. (BlackBerry/NovostIT)