Специалисты по информационной безопасности из компании Bluebox Labs сообщили об обнаруженной ими в ОС Android уязвимости, которая позволяет злоумышленникам выдавать вредоносные приложения за ПО известных поставщиков. Google устранила эту ошибку в апреле. Но в зоне риска остаются миллионы пользователей, которые приобрели устройства, начиная с 2010 г.
Обнаруженную «дыру» в западных изданиях назвали «суперуязвимостью нового типа». Уязвимость позволяет злоумышленникам получать доступ к функциям планшетов и смартфонов, а также хранящимся на них личным данным без ведома пользователя.
Хотя патч для устранения уязвимости был выпущен в апреле, устройства миллионов пользователей все еще подвергаются опасности. Дело в том, что устранение уязвимости относится только к последней версии Android, а версии с 2.1 (вышла в 2010 г.) до 4.3.1 так и остаются незащищенными.
Аналитики BlueBox дали этой уязвимости название Fake ID («поддельное удостоверение»), т.к. она дает возможность обмануть систему цифровых подписей (сертификатов) приложений, из-за чего вредоносное приложение может быть принято за приложение официального поставщика ПО, которому пользователь ранее разрешил доступ к системе.
Как объяснил в блоге компании Джефф Фористал (Jeff Forristal), технический директор Bluebox Labs, проблема заключается в самом методе проверки сертификатов. В качестве примера Фористал привел ситуацию, когда грабитель подходит к охране, предъявляя поддельный пропуск, а охрана, лишь взглянув на пропуск, пропускает его в здание, не сделав контрольный звонок в службу выдачи удостоверений.
«ОС Android не проверяет, действительно ли дочерняя цифровая подпись имеет отношение к родительской цифровой подписи, и безоговорочно доверяет данному утверждению. Можно сказать, что это фундаментальная проблема операционной системы», – комментирует Джефф Фористал.
К примеру, приложение объявляет ОС, что оно было разработано компанией Adobe Systems, приводит эксперт пример. Android не проверяет это утверждение и наделяет приложение привилегиями, которые доступны официальным приложениям от компании Adobe. В результате хакер может внедрить вредоносный код в систему, прикрываясь, к примеру, плагином Flash. Другой пример – в использовании сертификата приложения Google Wallet, которое имеет доступ к функции NFC.
Также злоумышленник может воспользоваться правами ПО 3LM, которое Sharp, Motorola, HTC и Sony, использовали для кастомизации графических оболочек на производимых устройствах. Получив привилегии 3LM, хакер может получить права на совершение любых действий, разрешенных 3LM, в т.ч. удаление и установку любых приложений.
Уязвимость такого рода обнаруживается в Android уже не в первый раз. В июле этого года специалисты той же компании, Bluebox, обнаружили в ОС Android баг, который позволяет хакеру модифицировать код установочного APK-файла, превращая любое подлинное приложение в троян. По сообщению экспертов, указанная ошибка присутствует на 900 млн устройств под управлением операционной системы, разработанной Google.
Читайте также:
В мобильных приложениях российских банков для iOS и Android найдены уязвимости
Похитители кодов: чем могут грозить электронные устройства
В 2013 г. компании потеряли 25 млрд долл. из-за хакеров и инсайдеров
Электронные замки в отелях взломать проще простого
Уязвимость в электронных замках привела к серии краж в отелях
Гослобби YotaPhone: чиновникам запретят пользоваться iPhone и другими смартфонами
Американский хакер придумал систему для угона чужих квадрокоптеров по радио
Источник: Bluebox.com