Исследователи впервые протестировали безопасность VoIP-компонентов Android.
Команда специалистов компании OPPO ZIWU Cyber Security Lab, Китайского университета Гонконга и Сингапурского университета управления обнаружили множественные уязвимости в компонентах VoIP операционной системы Android. Проблемы с безопасностью были выявлены в ходе первого в своем роде исследования (до недавнего времени проводились тестирования только VoIP-оборудования, серверов и мобильных приложений, но не VoIP-компонентов Android).
В течение нескольких лет команда специалистов разработала три метода анализа VoIP-бэкендов Android и с их помощью искала уязвимости, которые могут эксплуатироваться в кибератаках. Чаще всего исследователи использовала фаззинг – технику тестирования ПО, предполагающую передачу приложению неправильных, неожиданных или случайных входных данных.
В ходе тестирования исследователи проанализировали только последние версии Android, начиная от Android 7.0 (Nougat) и заканчивая прошлогодней Android 9.0 (Pie). В общей сложности они обнаружили девять уязвимостей, о которых сразу же уведомили Google (некоторые уязвимости затем были исправлены). Восемь проблем затрагивали непосредственно VoIP-бэкенд Android, а девятая касалась стороннего приложения.
Уязвимости позволяют осуществлять неавторизованные VoIP-звонки, подделывать идентификатор звонящего пользователя, отклонять входящие звонки и даже выполнять на устройстве пользователя вредоносный код.
Узнать подробности об уязвимостях можно здесь .