USD 66.75 ЕВРО 75.78

Bluebox Security утверждает, что 99% приложений для Android открыты для вторжения.

Экономика

Уязвимость четырёхлетней давности в верификации приложений означает, что почти любое приложение может быть преобразовано в троян, как утверждает специализирующаяся на информационной безопасности компания Bluebox Security.

Исследователи из Bluebox Security утверждают, что обнаружили уязвимость в модели безопасности Android, благодаря которой злоумышленники могут конвертировать 99% всех приложений в трояны.

Как говорит Джефф Форристал, технический директор Bluebox Security, в своей публикации в блоге компании, приложения могут быть модифицированы таким образом, что смогут похищать личные данные или подключаться к ботнетам, и в таком виде попадать незамеченными в магазины приложений и смартфоны конечных пользователей.

«Эта уязвимость, по крайней мере, с релиза Android 1.6, может проявиться на любом телефоне под Android, выпущенном в последние 4 года — а это около 900 миллионов устройств».

Проблема заключается в том, каким образом проверяются и устанавливаются приложения под Android. Каждое приложение имеет криптографическую подпись, позволяющую убедиться. что приложение не было подделано или модифицировано. Уязвимость же позволяет злоумышленнику подменять содержимое приложения, оставляя цифровую подпись нетронутой.

Всё указывает на то, что эта уязвимость — простая криптографическая хэш-атака, становящаяся возможной благодаря бедному выбору алгоритмов хэширования. Однако в своей публикации Форристал не вдаётся в дальнейшие подробности и детали.

«Благодаря уязвимости можно изменить код приложения, не затрагивая криптографическую подпись, и позволяя злоумышленнику убедить Android в подлинности приложения, несмотря на произведённую модификацию».

Форристал утверждает, что он уже уведомлял Google об уязвимости в феврале этого года, и ей был присвоен идентификатор 8219321 в перечне багов в уязвимости Android. Google отказался от комментариев на эту тему, либо всё ещё не связывался с Bluebox по этому поводу. Уязвимость не отмечена в перечне багов для Android Open Handset Alliance Project, а список ID не выходит за пределы 57000 на данный момент времени.

Компания пока не предъявила доказательств существования обсуждаемого кода, но утверждает, что он способен модифицировать системную информацию ПО на смартфоне HTC под Android, демонстрируя скриншоты в своём блоге.

Если эти претензии справедливы, то модифицированные приложения в состоянии получать полный доступ к системе Android и любому её приложению. В соответствии с утверждениями компании Bluebox, это включает в себя чтение любой информации на устройстве, похищение паролей, способность совершать звонки и отправлять текстовые сообщения, активировать встроенную камеру или микрофон, и, по крайней мере, делать мобильные устройства частями ботнет.

Форристал сказал, что за решение этой проблемы будут нести ответственность производители, такие как HTC и Samsung, поскольку именно они должны выпустить обновления прошивки. Пользователи же должны быть уведомлены о необходимости установки этого патча, когда он будет доступен.

Хотя пока совершенно неясно, готовы ли в Google отвечать на претензии Bluebox Company, которая планирует выступить с детальным информационным докладом об уязвимости на Black Hat 2013. Форристал сказал также, что наряду с объяснением того, как устройства под Android могут попасть под контроль злоумышленников, он разместит в интернет ссылки на соответствующие инструменты и материалы из его доклада.