USD 66.24 ЕВРО 75.71

Существующая брешь в безопасности Android доказана, патчи начинают выпускаться

Экономика

Разработчики CyanogenMod выпустили «заплатку» для своей версии Android, Google рассылает свой собственный патч производителям устройств на базе Android. Однако раскрытие уязвимого кода может облегчить хакерам атаку на тех, кто не успел к этому подготовиться.

Хотя патч для уязвимости, которая затрагивает практически любое приложение для Android, в настоящее время добирается до производителей, исследователи в области информационной безопасности разрабатывают код, демонстрирующий, каким образом можно конвертировать нормальное приложение в нечто гораздо более опасное.

На прошлой неделе компания Bluebox Security объявила, что приложения для Android могут быть преобразованы в трояны без ведома пользователя или операционной системы. Это означало, что 99% всех устройств уязвимы. Технический директор компании написал пространный и подробный материал по этому вопросу, не вдаваясь в детали, как именно срабатывает обнаруженная уязвимость, сохраняя подробности для выступления на BlackHat.

В то же время Николай Еленков, разработчик компании CyanogenMod, уже обнаружил, что уязвимость основывается на способе, которым Android обрабатывает дубликаты приложений. Еленков написал патч, описываемый им как «сырой», и который уже работает на CyanogenMod 10.1.

Пока разработанный Google патч потихоньку добирается до производителей устройств на базе Android, Пау Олива, эксперт в области информационной безопасности из viaForensics, написал черновое обоснование способа, с помощью которого злоумышленник может модифицировать легальное приложение, преобразовав его в троян, оставляя цифровую подпись в целости и сохранности.

Хотя это и облегчает жизнь взломщикам, это не раскрывает всех деталей реальной атаки. Два возможных направления атаки: через пользователей, самостоятельно загружающих приложения в свой смартфон или с помощью автоматизированной атаки (типа man-in-the-middle) на Google Play.

Пользователи зачастую не знают, можно ли доверять самостоятельно загруженным приложениям, поэтому можно утверждать, что поддельные цифровые подписи необходимы для воздействия на большинство этих пользователей. Вторая вариант вторжения, однако, может злоупотребить доверием, испытываемым пользователями к магазину приложений Google Play.

Несмотря на то, что Google Play осуществляет поиск и вызовы API по защищённому протоколу HTTPS, предлагающему защитную оболочку против опосредованных атак, загрузка пакетов по этому протоколу осуществляется без шифрования. Теоретически это может позволить злоумышленникам контролировать соединения с Google Play, перехватывать трафик, применять код Оливы и модифицировать пакеты налету.

Однако, такая атака должна быть целенаправленной, и потому она маловероятна.

Компания Bluebox Security уже выложила на Google Play программный инструмент, позволяющий определить, было ли устройство атаковано с помощью обсуждаемой уязвимости.