Уязвимость, существовавшая в Android в течении последних 4 лет,
позволяет злоумышленникам модифицировать любое легитимное и подписанное
приложение, превращая его в троянскую программу для кражи данных или перехвата управления
устройством.
Дефект обнаружили исследователи входящие в состав стартапа Bluebox Security (Сан Франциско,
США). Они планируют представить подробности на конференции по компьютерной
безопасности Black Hat USA,
которая пройдет в Лас-Вегасе в конце этого месяца.
Уязвимость возникает из-за несоответствия криптографической
проверки приложений Android,
что позволяет хакеру модифицировать код установочного файла (APK), не повреждая криптографическую
подпись.
При установке приложения для него создается песочница и Android записывает цифровую
подпись, сообщает технический директор Bluebox Джеф Форристал. Все последующие обновления должны
совпадать с этой подписью, чтобы проверить, что они от того же автора.
Это важно для модели безопасности Android, поскольку гарантирует, что
доступ к важным данным, которые хранятся в песочнице приложения, могут получать
только его обновления, подписанные ключом автора.
Выявленная уязвимость позволяет злоумышленникам добавлять
вредоносный код к APK
без взлома их подписей. Данная уязвимость присутствует в ОС с момента выпуска Android 1.6 Donut, то есть на любом Android-устройстве,
выпущенном за последние 4 лет года.
Уязвимость можно использовать и для получения полного
доступа к системе, если хакер модифицирует и распространит приложение,
разработанное производителем устройства и подписанное ключом платформы (ключ,
которым производители подписывают прошивку устройства).
Google
была уведомлена об уязвимости в феврале и поделилась информацией со своими
партнерами - включая участников бизнес-альянса Open Handset Alliance -
в начале марта, отметил Форристал. И теперь они должны решать, когда выпускать
обновления для устройств.
Учитывая медленное распространение патчей для Android, найденная Bluebox уязвимость надолго
задержится на значительной части устройств, поскольку она, вероятно, поражает
многие старые модели, которые перестали получать обновления безопасности.
Комментариев нет:
Отправить комментарий