Специалисты компании Bluebox Labs раскрыли информацию об уязвимости в Android, позволяющую злоумышленникам получать доступ к функциям сматфонов и планшетов и хранящимся на них личным данным без разрешения пользователя. Три месяца назад Bluebox Labs известила Google об этой уязвимости, и компания тут же выпустила патч для ее устранения.
Тем не менее, миллионы пользователей остаются в зоне риска. Дело в том, что уязвимость была устранена лишь в последней версии Android, а в версиях начиная с 2.1 (Eclair) и вплоть до 4.3.1 (Jelly Bean) она по-прежнему присутствует. Версия 2.1 была выпущена в январе 2010 г.
В англоязычных изданиях «дыру», найденную Bluebox Labs, назвали «суперуязвимостью нового типа», видимо, потому что она может привести к распространению чрезвычайно вредоносного ПО.
Сами аналитики BlueBox наывают ее Fake ID («поддельное удостоверение»), потому что она позволяет обмануть систему цифровых подписей (сертификатов) приложений и выдать вредоносное приложение за приложение официального поставщика, которому пользователь уже разрешил доступ к системе.
Проблема заключается в самом процессе проверки сертификатов, объяснил в блоге компании технический директор Bluebox Labs Джефф Фористал (Jeff Forristal). В качестве примера он привел ситуацию, когда грабитель подходит к охране и предъявляет поддельный пропуск, а охрана, взглянув на пропуск, пускает его в здание, не удосужившись сделать контрольный звонок в службу, которая выдает удостоверения.
«Android не проверяет, действительно ли дочерняя цифровая подпись связана с родительской цифровой подписью, а просто безоговорочно доверяет этому утверждению. Это фундаментальная проблема самой операционной системы», — говорит Фористал.
Например, приложение объявляет системе, что оно было создано компанией Adobe Systems, приводит пример эксперт. Android это утверждение не проверяет и наделяет приложение привилегиями, доступными официальным приложениям от Adobe. В результате хакер может внедрить в систему вредоносный код, прикрываясь плагином Flash. Другой пример заключается в использовании сертификата приложения Google Wallet, имеющего доступ к функции NFC.
Или, например, злоумышленник может воспользоваться правами программного обеспечения 3LM, которое HTC, Sony, Sharp и Motorola использовали для кастомизации графических оболочек на выпускаемых устройствах. Получив привилегии 3LM, злоумышленник может получить права на совершение всех действий, которые разрешены 3LM, включая удаление и установку приложений любого содержания.
Подобная уязвимость обнаруживается в Android не в первый раз. В июле 2014 г. специалисты этой же компании, Bluebox, нашли в операционной системе баг, позволяющий хакеру модифицировать код установочного APK-файла и превратить в троян любое подлинное приложение. Как сообщили эксперты, данная ошибка существует на 900 млн устройств под управлением разработанной Google операционной системы.
