Обнаружена опасная уязвимость в ОС Android

Обнаружена опасная уязвимость в ОС Android

Исследовательская группа Bluebox Security Labs недавно обнаружила уязвимость в модели обеспечения безопасности Android, которая позволяет изменить код приложения .apk, не повреждая криптографическую подпись приложения. Таким образом можно превращать любое подписанное приложение в троянскую программу. Причем подмены абсолютно никто не заметит. Ни Play Market, ни телефон, ни пользователь. 

Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета, пишет habrahabr.ru.

Для частных лиц и предприятий (вредоносное приложение может получить доступ к отдельным данным, или проникнуть в предприятия) опасность достаточно велика, тем более, если учесть, что приложения, разработанные производителями устройств (например, HTC, Samsung, Motorola, LG) или третьих лиц, которые работают в сотрудничестве с производителем устройства, имеют особые привилегии в Android.

Внедрение кода в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным). У приложения тогда будет возможность не только считывать произвольные данные приложения на устройстве (электронная почта, SMS-сообщения, документы, и т.д.), но и будет шанс получить доступ к сохраненным паролям. Причем это не помешает нормально функционировать телефону и управлять любой функцией (сделать произвольные телефонные вызовы, отправить произвольные SMS-сообщения, включить камеру и записать вызов). Наконец, можно создать целый ботнет.

Как это работает:

Все приложения Android имеют криптографические подписи, которые позволяют операционной системе Android определить и проверить — вмешались ли в код программы или нет. Когда приложение установлено, то для него создается песочница, Android записывает цифровую подпись этого приложения. Все последующие обновления для приложения должны соответствовать этой самой подписи, чтобы проверить, что оно от того же автора.

Уязвимость использует несоответствие, которое допускается при модификации приложения APK, при этом не повреждая криптографическую подпись приложения. Простыми словами, уязвимость позволяет обмануть Android и он будет думать, что приложение не было изменено.

В своей презентации Джефф расскажет о баге 8219321 в Android OS, о котором он сообщил в Google в феврале этого года, и об эксплойте, который работает практически на всех Android-устройствах, независимо от их возраста.

Снимок экрана демонстрирует, что Bluebox Security изменили приложение от производителя так, что теперь у них есть полный доступ к устройству. В данном случае компания изменила информацию о программном обеспечении устройства.

Злоумышленники могут использовать множество методов, чтобы распространить такие троянские приложения, включая отправку их по электронной почте, загружая их на сторонний Маркет, размещая их на любом веб-сайте. Некоторые из этих методов, особенно сторонние репозитории приложений, уже используются, чтобы распространить вредоносное программное обеспечение для Android. Используя Google Play, чтобы распространить приложение, которые было изменено, — не получится. Потому что Google обновил процесс записи приложения в Маркет, дабы блокировать приложения, которые содержат эту проблему.

Между прочим, Google был уведомлен относительно уязвимости еще в феврале, и компания поделилась информацией с их партнерами. И теперь партнерам нужно решить, когда выпустить обновление для устройств. Форристэл подтвердил, что одно устройство, Samsung S4, уже имеет заплатку, которая демонстрирует, что некоторые производители устройств уже начали выпускать патчи. Google еще не выпустил патч для своих Nexus устройств, но компания работает над этим.

История со слитыми переписками пользователей Telega быстро развалилась

Вокруг альтернативного клиента Telegram Телега вспыхнул новый скандал, продержался он недолго. Журналист ВГТРК Эдуард Петров сообщил, что в даркнете якобы появились предложения о продаже переписок пользователей Телеги. По его словам, киберпреступники готовы были предоставить 100 последних сообщений из чатов любых 10 пользователей за 155 тыс. рублей.

Звучало громко, но доказательств в публикации не было: ни ссылок, ни скриншотов, ни технических данных, ни подтверждения реальных сделок.

Команда Телеги назвала сообщение вбросом и заявила, что такой слив технически невозможен. В проекте подчеркнули, что автор публикации не запросил комментарий у команды и не предоставил источников. При этом разработчики заявили, что начали проверять возможные источники информации, но не нашли подтверждений.

Позже сам Петров удалил публикацию и извинился. Он признал, что после дополнительной проверки источник не предоставил никаких доказательств. Информация, по словам журналиста, оказалась непроверенной.

История произошла на фоне закрытия Телеги. Ранее команда проекта сообщила, что сервис прекратит работу с 1 июля из-за внешних ограничений со стороны технологических платформ и невозможности обеспечить полное соответствие действующим требованиям в формате телеграм-клиента.

У Телеги и до этого хватало проблем. В апреле стало известно, что Cloudflare пометил рабочие домены проекта как шпионские, после чего у клиента отозвали TLS-сертификат, а приложение удалили из App Store.

RSS: Новости на портале Anti-Malware.ru