Исследователи из факультета компьютерных наук университета Северной Каролины обнаружили уязвимость в исходных кодах Android Open Source Project, которая позволяет злоумышленнику создать приложение, которое без каких-либо разрешений может получить доступ к личным данным на устройстве.

На видео ниже показано некое злонамеренное демо-приложение, загружаемое пользователем из интернета, и которое устанавливается на смартфон с Android 4.1. При этом, как видно, приложение не требует никаких разрешений (permissions) от пользователя и в этом смысле выглядит как абсолютно безопасное. Затем при помощи приложения отсылается SMS, в ответ на которое приходит сообщение с номера, который находится в списке контактов пользователя.

Таким образом, злоумышленнику оказывается возможным отправлять на заражённое устройство SMS с «легального» номера, которое может содержать просьбу о выполнении, например, каких-либо финансовых операций или с просьбой сообщить пароль «службе безопасности банка», или перезвонить на премиум-номер.

В Google признали проблему, которой подвержены все версии Android; мало того, как говорят исследователи, в компании на запрос о проблеме ответили буквально через 10 минут и уже через два дня проблема была подтверждена инженерами поискового гиганта, и её решение будет включено в релизы будущих версий Android.
Источник