Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

ToastOverlay

CVE-2017-0752

Уязвимость в подсистеме оверлеев (окон, способных отображаться поверх других объектов) Android, позволяющая злоумышленникам создавать экранные формы, которые отображаются поверх других элементов интерфейса операционной системы и приложений. Уязвимости подвержены все устройства, работающие под управлением Android версий от 4.3 до 8.0. В обычных условиях для создания каких-либо визуальных форм поверх других окон приложению требуется запросить соответствующее разрешение ОС, но уязвимость ToastOverlay позволяет делать это без каких-либо дополнительных запросов. Теоретически с помощью ToastOverlay злоумышленники могут демонстрировать на экране фишинговые окна, блокировать нормальную работу устройства, обманным путем заставить пользователя предоставить вредоносному приложению права администратора или выполнить какие-либо иные потенциально опасные действия.

Если Антивирус Dr.Web для Android обнаружил наличие данной уязвимости, рекомендуется обратиться к производителю устройства для получения соответствующих обновлений операционной системы.

Технические подробности

Уязвимость ToastOverlay позволяет создавать экранные формы поверх элементов интерфейса, даже если использующее эту уязвимость приложение установлено не из Google Play и объявляет только одно разрешение: BIND_ACCESSIBILITY_SERVICE. Окна типа TYPE_TOAST используются в Android для демонстрации коротких сообщений поверх других окон и являются одним из стандартных видов оверлеев. Уязвимость ToastOverlay позволяет выводить окно TYPE_TOAST поверх других элементов интерфейса без выполнения запроса SYSTEM_ALERT_WINDOW, отправка и обработка которого обычно требуется в операционной системе. Таким образом, злоумышленник может отобразить на экране уязвимого устройства окно TYPE_TOAST без наличия каких-либо дополнительных привилегий и отслеживать нажатия на экран. Уязвимость связана с отсутствием проверки разрешений в компоненте Android AOSP. В обычной ситуации для отображения экранных форм поверх других элементов интерфейса осуществляются проверки доступа (permission check) и операции (operation check), однако для окна типа TYPE_TOAST они не выполняются, и запрос обрабатывается автоматически. Благодаря этому использующее уязвимость приложение получает полный контроль над окном TYPE_TOAST. Корректная проверка прав доступа была реализована только в ОС Android 8.0. Данной уязвимости подвержены версии Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 и 7.1.2.

Читайте также описания других уязвимостей

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Более 71% дохода компании — продажи бизнес-клиентам

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А