Миллионы пользователей Android в опасности из-за «суперуязвимости нового типа»


Специалисты по информационной безопасности из компании Bluebox Labs сообщили об обнаруженной ими в ОС Android уязвимости, которая позволяет злоумышленникам выдавать вредоносные приложения за ПО известных поставщиков. Google устранила эту ошибку в апреле. Но в зоне риска остаются миллионы пользователей, которые приобрели устройства, начиная с 2010 г.

Обнаруженную «дыру» в западных изданиях назвали «суперуязвимостью нового типа». Уязвимость позволяет злоумышленникам получать доступ к функциям планшетов и смартфонов, а также хранящимся на них личным данным без ведома пользователя.

Хотя патч для устранения уязвимости был выпущен в апреле, устройства миллионов пользователей все еще подвергаются опасности. Дело в том, что устранение уязвимости относится только к последней версии Android, а версии с 2.1 (вышла в 2010 г.) до 4.3.1 так и остаются незащищенными.

Аналитики BlueBox дали этой уязвимости название Fake ID («поддельное удостоверение»), т.к. она дает возможность обмануть систему цифровых подписей (сертификатов) приложений, из-за чего вредоносное приложение может быть принято за приложение официального поставщика ПО, которому пользователь ранее разрешил доступ к системе.

Как объяснил в блоге компании Джефф Фористал (Jeff Forristal), технический директор Bluebox Labs, проблема заключается в самом методе проверки сертификатов. В качестве примера Фористал привел ситуацию, когда грабитель подходит к охране, предъявляя поддельный пропуск, а охрана, лишь взглянув на пропуск, пропускает его в здание, не сделав контрольный звонок в службу выдачи удостоверений.

«ОС Android не проверяет, действительно ли дочерняя цифровая подпись имеет отношение к родительской цифровой подписи, и безоговорочно доверяет данному утверждению. Можно сказать, что это фундаментальная проблема операционной системы», – комментирует Джефф Фористал.

К примеру, приложение объявляет ОС, что оно было разработано компанией Adobe Systems, приводит эксперт пример. Android не проверяет это утверждение и наделяет приложение привилегиями, которые доступны официальным приложениям от компании Adobe. В результате хакер может внедрить вредоносный код в систему, прикрываясь, к примеру, плагином Flash. Другой пример – в использовании сертификата приложения Google Wallet, которое имеет доступ к функции NFC.

Также злоумышленник может воспользоваться правами ПО 3LM, которое Sharp, Motorola, HTC и Sony, использовали для кастомизации графических оболочек на производимых устройствах. Получив привилегии 3LM, хакер может получить права на совершение любых действий, разрешенных 3LM, в т.ч. удаление и установку любых приложений.

Уязвимость такого рода обнаруживается в Android уже не в первый раз. В июле этого года специалисты той же компании, Bluebox, обнаружили в ОС Android баг, который позволяет хакеру модифицировать код установочного APK-файла, превращая любое подлинное приложение в троян. По сообщению экспертов, указанная ошибка присутствует на 900 млн устройств под управлением операционной системы, разработанной Google.

Читайте также:
В мобильных приложениях российских банков для iOS и Android найдены уязвимости
Похитители кодов: чем могут грозить электронные устройства
В 2013 г. компании потеряли 25 млрд долл. из-за хакеров и инсайдеров
Электронные замки в отелях взломать проще простого
Уязвимость в электронных замках привела к серии краж в отелях
Гослобби YotaPhone: чиновникам запретят пользоваться iPhone и другими смартфонами
Американский хакер придумал систему для угона чужих квадрокоптеров по радио

Источник: Bluebox.com

Оставьте отзыв

Ваш емейл адрес не будет опубликован. Обязательные поля отмечены *