Новий метод атаки на смартфони, що отримав назву Spearphone, задіює акселерометр, вбудований в більшість Android-пристроїв. Доступ до цього датчика може отримати будь-який додаток, включно програми, що не мають ніяких дозволів.

Акселерометр – прилад, за допомогою якого вимірюється прискорення. Він покликаний допомогти програмному забезпеченню смартфона визначити положення, а також відстань переміщення мобільного пристрою в просторі.

Spearphone атака спрацьовує коли жертва активує режим гучномовця в телефоні або під час відео-дзвінка, тоді зловмисники прослуховують мультимедійні дані або взаємодіють з віртуальним помічником на смартфоні.

Шкідливе Android-додаток записує реверберації за допомогою акселерометра і відправляє отримані дані на сервер атакуючих. За словами дослідників, зловмисник може проаналізувати дані і за допомогою технологій цифрової обробки сигналів і машинного навчання відтворити вимовлені слова і отримати потрібну інформацію про жертву.

Атака Spearphone може використовуватися для визначення вмісту програного жертвою аудіо або голосових заміток, отриманих через месенджери, такі як WhatsApp, персональної інформації (номерів соціального страхування, дат народження, віку, даних платіжних карт, банківських рахунків тощо).

До речі, в плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.

Також фахівці Check Point виявили новий вид шкідливого ПЗ для Android, який встиг заразити більше 25 млн пристроїв.

Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.

Окрім цього, дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.

Зверніть увагу, співробітники Служби безпеки України спільно з партнерами із США припинили діяльність потужного хакерського угруповання. Відео замаскованого центру дивіться тут.