Cisco только что зафиксировала уязвимость в своем приложении Встреч WebEx для Android, тот, который позволил сторонним заявлениям украсть разрешения приложения WebEx и выполнить вредоносный код.

Встречи Cisco WebEx - основное приложение веб-конференции, разработанное вокруг обслуживания WebEx Cisco для встреч онлайн и конференций. Обслуживание довольно мощное и имеет большую точку опоры на деловом рынке, используемом на разных уровнях во многих компаниях во всем мире.

Так как приложение WebEx не Ваша стандартная игра Android или приложение фонаря, требуется много разрешений. Некоторые из них идут вне вариантов по умолчанию, и они были осуществлены сверху таможенной особенности Разрешений в OS Android.

Эта особенность довольно уникальна , потому что она также позволяет другим приложениям просить таможенные разрешения, уже настроенные приложением, уже установленным на устройстве пользователя.

Это точно, как уязвимость WebEx проявилась с нападавшими, создающими вредоносные приложения, которые после обманывания пользователей в загрузку и установку их, будут угонять более высокие разрешения приложения WebEx, и затем использовать их, чтобы выполнить вредоносный код.

Никакое пользовательское взаимодействие не было необходимо для нападавших, чтобы усилить эту уязвимость

«Уязвимость происходит из-за способа, которым разрешения пользовательского приложения назначены при инициализации», заявила Cisco в ее консультативной безопасности. «Деяние могло позволить нападавшему использовать пользовательское приложение, чтобы тихо приобрести те же разрешения как применение WebEx».

Никакое взаимодействие не было необходимо от пользователя, чтобы позволить стороннему приложению угонять разрешения. Все было сделано программно, эксплуатируя лазейки в кодексе Android и WebEx.

Вся Cisco WebEx Встречи для версий Android до 8.5.1 уязвима. Последняя версия может быть загружена с магазина Google Play.

У уязвимости, с CVE-2015-6384 идентификатором, есть счет серьезности CVSS 4,3 из 10, получая средний индикатор серьезности.

Cisco исправляет крадущую разрешение ошибку в своем приложении Android WebEx встреч Приложение для Android Встреч WebEx