Уязвимость в Android позволяет модифицировать легитимные приложения

Уязвимость в Android позволяет модифицировать легитимные приложения

Уязвимость в Android позволяет модифицировать легитимные приложения

Эксперты Trend Micro сообщают об уязвимости, затрагивающей версии Android с 5.1.1 по 8.0 (в настоящее время установлены на 74% всех Android-устройств), позволяющей злоумышленникам изменять установленные приложения, не затрагивая их подпись. Эта брешь может позволить получить доступ к устройству.

Как утверждают специалисты Trend Micro, впервые этот недостаток, получивший идентификатор CVE-2017-13156, был обнаружен в июле. Исследователи назвали его Janus. На данный момент найдено лишь одно злонамеренное приложение, эксплуатирующее эту уязвимость, утверждает Trend Micro.

Установочные файлы приложений Android (.APK-файлы) на деле являются ZIP-архивами, которые имеют несколько характеристик, позволяющих совершить эту атаку. Структура файла состоит из трех частей, как показано на рисунке ниже:

Злоумышленник может поместить вредоносный файл DEX в начало файла APK, а затронутая этой уязвимостью версия Android по-прежнему будет считать его легитимным файлом APK и попытается выполнить его.

Android Runtime (ART) отвечает за загрузку кода DEX из файла APK. Из-за того, что DEX-код помещен в начало файла, он распознается системой как DEX-файл. Следующий за ним код (исходное содержимое APK) воспринимаются как мусорное содержимое, которое игнорируется.

Вредоносные программы могут использовать эту брешь двумя способами:

  • Для скрытия вредоносной нагрузки. Вредоносы могут маскироваться под чистый DEX-файл, в то время как пейлоад хранится в файле APK.
  • Для обновления уже установленного приложения без ведома его разработчика. Злоумышленник может использовать дыру в безопасности для доступа к защищенным данным исходного приложения, например, учетным данным пользователя и личной информации.

Эксперты утверждают, что уязвимость была исправлена в декабрьском выпуске обновлений для Android.

VK распродаёт активы и перестраивается под санкциями

VK резко перестраивает работу после новых ограничений Евросоюза. За несколько дней холдинг продал RuStore, объявил окончательный переезд с домена .com на .ru и лишился приложений сразу в двух крупнейших западных магазинах.

С 15 июля владельцем разработчика RuStore — компании «Много приложений» — стал её гендиректор Дмитрий Панкрушев.

Ранее бизнес целиком принадлежал VK. Сумма сделки не раскрывается, но эксперты оценивают актив примерно в 2 млрд рублей и связывают продажу с попыткой вывести магазин приложений из-под санкционного зонта холдинга.

Следом VK сообщил об исчезновении своих сервисов из Google Play. Вместе с VK и Max из каталога пропали «Одноклассники», Mail.ru, «Дзен» и «Юла». Ранее часть приложений холдинга уже удаляли из App Store.

Компания заверяет, что установленные версии продолжают работать, пуши и звонки не отключатся, а скачать приложения можно через RuStore и магазины производителей смартфонов.

Параллельно VK завершает переезд с vk.com на vk.ru. Для обычного пользователя это выглядит как смена нескольких букв, но внутри завязаны API, авторизация и партнёрские интеграции.

Эксперты, которых цитирует «КоммерсантЪ», считают, что переход в российскую доменную зону позволит снизить зависимость от зарубежной инфраструктуры. Некоторые участники рынка, впрочем, называют переезд срочным и вынужденным.

Инвесторы энтузиазма не проявили: 16 июля акции VK падали более чем на 7%.

Получается полноценная цифровая эвакуация: RuStore — за периметр холдинга, приложения — в альтернативные каталоги, домен .com — на выход. VK не просто меняет адрес, а срочно собирает инфраструктуру там, где до неё сложнее дотянуться санкциям.

RSS: Новости на портале Anti-Malware.ru