На конференции GI Sicherheit 2016 исследователями из Брауншвейгского технического университета Домиником Шюрманом и Ларсом Вольфом был представлен доклад об уязвимостях в реализации Android-приложений.
Как утверждают эксперты, из 12 программ, проверенных ими, 8 приложений дают хакерам возможность получить доступ к информации, которая может быть очень важной для пользователей.
Многие почтовые клиенты и мессенджеры для Android пользуются Intent API, чтобы передавать изображения, видеофайлы и текстовые документы. Вместо того, чтобы переслать сам файл, приложения задействуют API для отправки ссылок на облачное хранилище файлов. Экспертами был проведен ряд экспериментов. В некоторых случаях они смогли получить доступ к важным файлам.
По словам экспертов, приложения могут хранить в облаке не только медиафайлы, но и другие важные данные, включая личную переписку пользователей.
Исследователи получили доступ к зашифрованной базе данных и ключу мессенджера Threema. Кроме того, уязвимость была выявлена в Telegram и Signal.
От функционала приложения зависит то, что получит хакер в результате использования уязвимости: повышенные привилегии на целевом устройстве или доступ к важной информации.