Взлом Gmail для Android
Обновлено: 21.11.2024
Ваши самые надежные приложения могут оказаться под угрозой. Исследователи говорят, что они нашли способ взломать приложения Gmail с вероятностью 92 %.
Хотя в документе рассматриваются только эти семь приложений для Android, исследователи заявили, что их взломы используют уязвимость, которая, вероятно, присутствует в приложениях на других операционных системах.
"Я, безусловно, считаю, что отчет заслуживает доверия", – написала в электронном письме аналитик по кибербезопасности Микела Ментинг. «Если исследователь или хакер постарается, он найдет способы использовать любое количество векторов в приложении».
Демонстрационные видеоролики показывают, как хакер может использовать другой телефон для отслеживания действий в конфиденциальных приложениях и получения личной информации при вводе жертвой.
Хакер мог получить доступ, заставив пользователя установить, казалось бы, безобидное приложение, такое как обои для телефона, и открыть доступ к недавно обнаруженному общедоступному стороннему каналу, не требующему привилегий. Эта функция позволяет процессам эффективно обмениваться данными и довольно распространена, поскольку все приложения, загруженные на телефон, взаимодействуют с одной операционной системой.
«Всегда предполагалось, что эти приложения не могут легко мешать друг другу», — говорится в заявлении исследователя Чжиюн Цянь. "Мы показываем, что предположение неверно, и одно приложение может существенно влиять на другое и приводить к вредным последствиям для пользователя".
Другими авторами статьи были З. Морли Мао, доцент Мичиганского университета, и Ци Альфред Чен, доктор философии, студент, работавший с Мао. Цянь, недавний выпускник группы Мао, является профессором Калифорнийского университета в Риверсайде.
Исследователи заявили, что успех приложения Amazon составил лишь 48 %, поскольку оно позволяет переходить от одного действия практически к любому другому, что затрудняет угадывание того, что делает пользователь, и поиск точного момента для кражи данных. р>
Представители Chase и WebMD заявили, что проблема связана с уязвимостью операционной системы, а не с приложением. Newegg.com сообщает, что исследование показывает необходимость совместной работы всех участников мобильного пространства для обеспечения безопасности.
Джин Кинг из H&R Block заявил, что нет никаких признаков того, что какие-либо данные клиентов были скомпрометированы. «H&R Block очень серьезно относится к конфиденциальности и безопасности, и мы связываемся с соответствующими сторонами для рассмотрения этих сообщений», — сказал Кинг.
Другие компании, участвовавшие в исследовании, не сразу ответили на запросы CNBC о комментариях.
Однако некоторые эксперты по смартфонам не сочли этот отчет серьезной проблемой.
"Это было интересно в теоретическом смысле, но для того, чтобы это было практическим взломом, должно произойти много вещей", – написал в Twitter главный редактор Android Central Фил Никинсон.
Ментинг, аналитик ABI Research, сказал, что уровень технических знаний, необходимый для атак, вероятно, предотвратит широкое использование метода взлома.
После громкой утечки данных кредитных карт в Target в конце прошлого года в последнее время участились сообщения о кибератаках на компании и государственные учреждения.
"Какой бы безопасной мы ни считали год или два назад, мы наблюдаем новую волну на всех платформах приложений", – – сказал Брайан Блэр, аналитик Rosenblatt Securities. «Нам нужно, чтобы разработчики приложений создали новый уровень безопасности. Я вижу, что потребители мало что могут сделать. Нам нужно подождать, пока все компании, которые хранят нашу информацию, обновятся».
Он добавил, что потребители, вероятно, начнут больше интересоваться современными службами защиты идентификации.
Цянь посоветовал потребителям избегать установки ненадежных приложений.
«Пользователи должны быть осторожны и скачивать приложения только из надежных источников — большие популярные приложения притягивают хакеров», — сказал он в электронном письме. «Выполняйте плановую проверку своего смартфона и планшета, особенно если у вас есть дети, использующие устройство, чтобы убедиться, что установлены только те приложения, которым можно доверять. Немедленно удалите приложения, которые кажутся неизвестными или не нужны. "
Похоже, недавно обнаруженный метод взлома имеет поразительно высокий уровень успеха в различных популярных приложениях для Android. Исследователи из Мичиганского и Калифорнийского университетов в Риверсайде обнаружили, что шесть из семи популярных приложений могут быть взломаны с вероятностью 92 %.
В документе, который будет представлен на симпозиуме по безопасности USENIX в пятницу, исследователи подробно описали новый тип взлома, который они назвали атакой вмешательства в состояние пользовательского интерфейса. Атака вмешательства в состояние пользовательского интерфейса просто означает, что хакер может запустить вредоносное приложение в фоновом режиме без ведома пользователя.
Исследователи говорят, что это может позволить хакеру украсть пароль пользователя и номер социального страхования, просмотреть фотографию чека в банковском приложении или получить номера кредитных карт и другие конфиденциальные данные.WebMD, Chase и Gmail были протестированы и признаны уязвимыми.
В Android точка входа, которую исследователи называют "побочным каналом общей памяти", может позволить хакерам обнаруживать, что происходит в приложении пользователя. Исследователи говорят, что эта дыра в системе безопасности не уникальна только для Android, поэтому предположительно этот взлом можно использовать и в iOS, и в Windows.
Пользователь будет уязвим, если загрузит приложение, которое выглядит безопасным, но на самом деле представляет собой вредоносное ПО. Затем хакеры могут использовать эту уязвимость для наблюдения за любыми личными данными, введенными пользователем. Одним из примеров может быть случай, когда пользователь открывает банковское приложение и входит в систему. Хакер получит уведомление и может начать «атаку с перехватом активности», что позволит ему получить личную информацию пользователя.
Другим примером может быть чек, депонированный электронным способом. "Атака с использованием камеры" может украсть изображение чека, что позволит хакерам получить доступ к конфиденциальной информации, такой как номер банковского счета, маршрутный номер и подпись.
"Случай с приложением Amazon указывает на то, что наш метод логического вывода может работать неправильно, если определенные функции недостаточно различимы, особенно основные факторы, такие как модель перехода и функция сетевых событий", — пишут исследователи в статье. р>
Открытие сделали три исследователя: Ци Альфред Чен, докторант Мичиганского университета; Чжиюнь Цянь, доцент Калифорнийского университета в Риверсайде; и З. Морли Мао, доцент Мичиганского университета.
Когда вы входите в свою учетную запись Google, вы можете нажать на уведомление на своем телефоне, чтобы подтвердить, что это вы.
Вы можете использовать подсказки Google для входа:
Даже если вы не включили ни одну из этих настроек, Google также может попросить вас нажать на уведомление, чтобы подтвердить, что вы входите в систему.
Узнайте, какие устройства получают подсказки Google
Вы будете получать подсказки Google на любом телефоне Android, на котором выполнен вход в ваш аккаунт Google.
Если ваш телефон соответствует требованиям, Google автоматически попытается использовать Bluetooth для дополнительной защиты при входе на новые устройства. Мы используем Bluetooth, чтобы блокировать подозрительные попытки входа с устройств, которые физически не находятся рядом с вашим телефоном.
Как подсказки Google помогают защитить ваш аккаунт
Мы рекомендуем подсказки Google вместо текстовых сообщений (SMS) кодов подтверждения, чтобы помочь вам:
- Избегайте взлома аккаунта по номеру телефона. Хакеры могут попытаться украсть коды подтверждения, чтобы взломать вашу учетную запись. Подсказки Google помогают защититься от этого метода взлома аккаунта, отправляя их более безопасным образом только на те устройства, на которых вы вошли в систему.
- Подробнее о попытках входа. Чтобы помочь вам найти подозрительную активность, Google подсказки предоставляют вам информацию об устройстве, местоположении и времени попытки входа.
- Блокировать подозрительную активность. Если вы не пытались войти в свою учетную запись, нажмите "Нет" в уведомлении, чтобы защитить свою учетную запись.
Используйте рекомендуемые устройства и функции безопасности
Если вам нужно войти на чужой телефон, войдите в приватное окно браузера. Чтобы выйти, закройте все приватные окна браузера, когда закончите пользоваться телефоном.
Чтобы предотвратить использование вашего устройства посторонними, включите блокировку экрана телефона.
Исправить проблемы
Вы не получаете подсказку от Google
Если вы пытаетесь войти и не получаете приглашение на свой телефон:
- Попробуйте еще раз. На экране входа выберите Отправить повторно.
- Если это не сработает, убедитесь, что:
- Ваш телефон подключен к Интернету. Чтобы получать подсказки, необходимо включить Wi-Fi или мобильный Интернет.
- Вы отключаете функцию Не беспокоить, если эта настройка включена.
- В вашем телефоне установлена последняя версия сервисов Google Play.
- Убедитесь, что вы вошли в свою учетную запись Google:
- На устройстве Android откройте "Настройки" .
- Нажмите "Аккаунты Google".
- Если вы не вошли в систему, следуйте инструкциям на экране.
- Попробуйте войти еще раз.
Вы получили приглашение, но не вошли в систему
Если вы не пытались войти, но получили запрос, возможно, кто-то пытался войти без вашего разрешения.
На вопрос "Пытаетесь войти?" нажмите "Нет".
Если мы заметим что-то необычное в том, как вы входите в систему, например ваше местоположение, мы можем попросить вас предпринять дополнительные шаги, чтобы подтвердить, что это вы. Например, может потребоваться сопоставить число, отображаемое на экране компьютера, с числом на экране телефона.
Вы получили сообщение «Срок действия запроса истек»
Если на вашем телефоне отображается уведомление об истечении срока действия или превышении времени ожидания, попытка входа в ваш аккаунт Google была неудачной.
Если вы пытались войти в свою учетную запись:
- На экране входа нажмите "Отправить повторно".
- Следуйте инструкциям на экране, чтобы войти в свой аккаунт Google.
Если вы не пытались войти в свой аккаунт Google:
-
.
- Если кто-то попытался получить доступ к вашей учетной записи без разрешения, мы рекомендуем вам сменить пароль.
Вашего телефона нет поблизости или вы не можете им пользоваться
Иногда вам может потребоваться выполнить вход другим способом, например, когда:
- У вас нет телефона.
- Ваш телефон не заряжен.
- Ваш телефон не в сети.
Если вы входите в систему с подсказками Google вместо пароля, вам нужно будет использовать свой пароль.
-
.
- Нажмите «Использовать пароль» или другие параметры.
- Выберите один из вариантов и следуйте инструкциям на экране.
Если вы используете подсказки Google для двухэтапной аутентификации, выполните следующие действия:
-
.
- Нажмите "Попробовать другим способом" или другое сообщение, например "Я не могу это сделать".
- Выберите один из вариантов и следуйте инструкциям на экране.
Ваш телефон потерян или украден
Чтобы восстановить свою учетную запись:
-
.
- Нажмите У меня нет телефона.
- Выберите один из вариантов и следуйте инструкциям на экране.
Отключить уведомления
Совет. Если вы используете двухэтапную аутентификацию, настройте резервные методы, чтобы избежать блокировки вашего аккаунта.
Вы можете зарегистрироваться в программе "Дополнительная защита", чтобы получить самую надежную защиту аккаунта Google.
Расширенная защита рекомендуется всем, кто подвергается повышенному риску целенаправленных интернет-атак. К ним относятся журналисты, активисты, сотрудники политических кампаний, бизнес-лидеры, ИТ-администраторы и все, чей аккаунт Google содержит ценные файлы или конфиденциальную информацию.
Как работает Дополнительная защита
Дополнительная защита защищает от целенаправленных интернет-атак.
Предотвращает несанкционированный доступ к вашему аккаунту
Дополнительной защите требуются электронные ключи для входа, чтобы помочь защитить ваши данные Google, такие как электронные письма, документы, контакты или другие личные данные Google. Даже если у хакера есть ваше имя пользователя и пароль, он не сможет войти без вашего ключа безопасности.
Совет. Электронный ключ потребуется вам при первом входе в систему на компьютере, в браузере или на устройстве. Если вы останетесь в системе, возможно, вам не будет предложено использовать электронный ключ при следующем входе.
Обеспечивает дополнительную защиту от вредоносных загрузок
Дополнительная защита выполняет дополнительные проверки загружаемых файлов. При загрузке файла, который может быть опасным, он уведомляет вас или блокирует загрузку. На вашем телефоне Android разрешены только приложения из проверенных магазинов.
Защищает вашу личную информацию
Чтобы предотвратить несанкционированный доступ, Дополнительная защита позволяет только приложениям Google и проверенным сторонним приложениям получать доступ к данным вашего аккаунта Google и только с вашего разрешения.
Дополнительная защита также не позволяет хакерам выдавать себя за вас для доступа к вашей учетной записи: если кто-то попытается восстановить вашу учетную запись, Дополнительная защита предпримет дополнительные шаги для подтверждения вашей личности.
Включить Дополнительную защиту
Вы можете немедленно включить Дополнительную защиту, используя встроенный электронный ключ соответствующего телефона. Если у вас нет подходящего телефона, сначала необходимо приобрести электронные ключи, а затем зарегистрироваться в программе Дополнительной защиты.
С помощью встроенного электронного ключа вашего телефона
Важно! Из-за COVID-19 мы временно приостановили регистрацию с помощью встроенного электронного ключа вашего телефона. Вы по-прежнему можете зарегистрироваться с помощью двух приобретенных электронных ключей или присоединиться к нашему списку ожидания, чтобы зарегистрироваться с помощью встроенного электронного ключа вашего телефона.
Если у вас есть смартфон под управлением Android 7.0 или более поздней версии, вы можете использовать встроенный электронный ключ, чтобы включить Дополнительную защиту.
Важно! Если вы зарегистрируетесь в программе Дополнительной защиты, чтобы ваш аккаунт не был заблокирован, не меняйте пароль и не удаляйте телефон из списка доверенных устройств, пока вы не добавите хотя бы один резервный ключ безопасности в свой аккаунт Google. Аккаунт.
Настройте встроенный электронный ключ телефона
Важно! В вашем аккаунте может быть только один встроенный электронный ключ. Если у вас есть более одного подходящего телефона, вам нужно выбрать один. Вы можете переключиться на другой подходящий телефон в любое время.
-
и выберите второй шаг проверки.
- Если вы уже используете двухэтапную аутентификацию, перейдите к следующему шагу.
- На телефоне Android перейдите на страницу myaccount.google.com/security.
- В разделе "Вход в Google" выберите "Двухэтапная аутентификация". Возможно, вам потребуется войти в систему.
- Прокрутите до пункта "Настроить альтернативный второй шаг" и нажмите "Добавить электронный ключ".
- Выберите свой телефон Android Добавить. Вы должны увидеть подтверждение того, что ваш телефон был добавлен в качестве электронного ключа.
Зарегистрироваться в программе Дополнительной защиты
- Убедитесь, что вы вошли в свою учетную запись Google в Chrome на компьютере, Chromebook, iPhone или iPad.
- Если у вас несколько подходящих телефонов Android, выберите один из них, чтобы зарегистрироваться в программе Дополнительной защиты. следуя инструкциям на экране. или приобретите дополнительный резервный электронный ключ.
С двумя купленными электронными ключами
После получения электронных ключей вы можете зарегистрироваться в программе Дополнительной защиты. Мы рекомендуем приобрести 2 ключа, основной ключ и резервную копию, чтобы хранить их в надежном месте.
-
которые совместимы с используемыми вами устройствами.
- Если вы еще этого не сделали, включите двухэтапную аутентификацию. следуя инструкциям на экране.
Получите ответы на распространенные вопросы
Узнайте больше о Дополнительной защите, в том числе о том, как работает программа и как устранять проблемы.
Решите, подходит ли вам Дополнительная защита
Расширенная защита — это самая надежная защита аккаунта Google, которая имеет некоторые ограничения для вашего аккаунта:
- Для входа на любом новом устройстве необходим электронный ключ.
- Чтобы прочитать свою электронную почту, вы можете использовать Gmail. Вы также можете создать код для использования приложения iOS Mail с вашим аккаунтом Google.
- Вы не можете использовать свой аккаунт Google с некоторыми приложениями и службами, которым требуется доступ к конфиденциальным данным, таким как ваша электронная почта и Google Диск. Таким образом, хакеры не получат доступ к вашим личным данным Google. Вы можете создать временный код, чтобы разрешить приложениям Apple Mail, Contacts и Calendar на iOS или Mozilla Thunderbird доступ к вашему Gmail и другим данным аккаунта Google.
- Если вы потеряете доступ к своему аккаунту, для его восстановления потребуются дополнительные действия.
Защитите свой аккаунт без Дополнительной защиты
Если вам не подходит Дополнительная защита или ваши электронные ключи еще не получены, вы все равно можете предпринять шаги, чтобы повысить безопасность своего аккаунта.
Читайте также:
- Как отключить пульс ленту новостей в браузере от майл ру
- Для создания полноценного веб-сайта следует использовать такую программу из пакета ms office, как
- Как установить программу на mac os от неизвестного разработчика
- Как умножить столбец на столбец в Excel
- Планировщик обновлений Java что это за программа в автозагрузке