Уязвимости в Google Play позволяют злоумышленникам устанавливать любые приложения на устройства пользователей

Браузеры, поставляемые с устаревшей версией Android, подвержены уязвимости, которая позволяет хакерам скомпрометировать систему.

Несколько уязвимостей в магазине приложений Google Play позволяют хакерам незаметно от пользователей устанавливать любые приложения на их устройства. Об этом  предупреждают специалисты Rapid7 в блоге компании.

Исследователи сообщают, что брешь в X-Frame-Options (XFO) вместе с уязвимостью WebView в устаревших версиях Android дает хакерам возможность установить любое приложение из App Store без ведома пользователя. По словам инженера компании Тода Бирдсли (Tod Beardsley), большинство устройств под управлением Android 4.3 поставляются с устаревшими браузерами, подверженными UXSS-уязвимостям.

Бирдсли говорит, что некоторые пользователи могли по незнанию установить уязвимые версии альтернативных браузеров для Android. Пока в Google Play не исправят уязвимость в XFO, все пользователи, использующие свою учетную запись Google, будут и далее подвержены риску.

Исследователь отметил, что пользователь может избежать компрометации своего смартфона двумя путями. Первый вариант предусматривает установку безопасных браузеров наподобие Google Chrome или Mozilla Firefox. Второй сценарий предусматривает временный отказ от использования Google Play.