В Android обнаружена критическая уязвимость Fake ID | ||
КПК и телефоны | ||
В Android найдена «супердыра нового типа»: Миллионы пользователей в опасности ... |
Эксперты по информационной безопасности сообщили об обнаружении в Android уязвимости, позволяющей злоумышленникам выдавать вредоносные приложения за подлинные программы известных поставщиков. В апреле Google устранила эту ошибку. Тем не менее, в зоне риска остаются миллионы пользователей, купившие устройства начиная с 2010 г. В англоязычных изданиях новую «дыру» назвали «суперуязвимостью нового типа».
Специалисты компании Bluebox Labs раскрыли информацию об уязвимости в Android, позволяющую злоумышленникам получать доступ к функциям сматфонов и планшетов и хранящимся на них личным данным без разрешения пользователя. Три месяца назад Bluebox Labs известила Google об этой уязвимости, и компания тут же выпустила патч для ее устранения.
Тем не менее, миллионы пользователей остаются в зоне риска. Уязвимость не затрагивает устройства, в которых исправлена ошибка 13678484 (патч был выпущен Google в нынешнем году). Смартфоны HTC, Pantech, Sharp, Sony Ericsson и Motorola, использующие расширение от 3LM, подвержены риску. Дело в том, что уязвимость была устранена лишь в последней версии Android, а в версиях начиная с 2.1 (Eclair) и вплоть до 4.3.1 (Jelly Bean) она по-прежнему присутствует. Версия 2.1 была выпущена в январе 2010 г. Fake ID присутствует в Android 2.1 и выше, за исключением Android 4.4.
В англоязычных изданиях «дыру», найденную Bluebox Labs, назвали «суперуязвимостью нового типа», видимо, потому что она может привести к распространению чрезвычайно вредоносного ПО.
Сами аналитики BlueBox наывают ее Fake ID («поддельное удостоверение»), потому что она позволяет обмануть систему цифровых подписей (сертификатов) приложений и выдать вредоносное приложение за приложение официального поставщика, которому пользователь уже разрешил доступ к системе.
Проблема заключается в самом процессе проверки сертификатов, объяснил в блоге компании технический директор Bluebox Labs Джефф Фористал (Jeff Forristal). В качестве примера он привел ситуацию, когда грабитель подходит к охране и предъявляет поддельный пропуск, а охрана, взглянув на пропуск, пускает его в здание, не удосужившись сделать контрольный звонок в службу, которая выдает удостоверения.
«Android не проверяет, действительно ли дочерняя цифровая подпись связана с родительской цифровой подписью, а просто безоговорочно доверяет этому утверждению. Это фундаментальная проблема самой операционной системы», — говорит Фористал.
Например, приложение объявляет системе, что оно было создано компанией Adobe Systems, приводит пример эксперт. Android это утверждение не проверяет и наделяет приложение привилегиями, доступными официальным приложениям от Adobe. В результате хакер может внедрить в систему вредоносный код, прикрываясь плагином Flash. Другой пример заключается в использовании сертификата приложения Google Wallet, имеющего доступ к функции NFC.
Или, например, злоумышленник может воспользоваться правами программного обеспечения 3LM, которое HTC, Sony, Sharp и Motorola использовали для кастомизации графических оболочек на выпускаемых устройствах. Получив привилегии 3LM, злоумышленник может получить права на совершение всех действий, которые разрешены 3LM, включая удаление и установку приложений любого содержания.
Ещё пример.
«К примеру, приложение имеет цифровую подпись (то есть, его подлинность подтверждена сертификатом) компании Adobe Systems. Ему разрешено выполнять роль плагина для просмотра web-страниц в других приложениях для поддержки плагина Adobe Flash, - пояснил технический директор Bluebox Security Джефф Форристал (Jeff Forristal). – Или другой пример: программе с подписью, определенной файлом nfc_access.xml (обычно подпись приложения Google Wallet), разрешен доступ к аппаратному обеспечению NFC SE. Эти особые привилегии зашифрованы в исходном коде Android (AOSP)».
По словам Форристала, на определенных устройствах приложениям с подписью их производителя или доверенных третьих сторон разрешен доступ к расширениям MDM, которые позволяют управлять устройством.
«Android-приложения используют те же самые концепции удостоверения подписи, что и SSL, включая полную поддержку сертификатов, выданных другими сторонами (так называемую цепочку сертификатов)», - сообщил эксперт.
Уязвимость Fake ID эффективно разрушает эту систему, так как установочный пакет Android не проверяет подлинность цепочки сертификатов. Это позволяет вредоносному ПО выдавать себя за приложения, которым разрешено обходить песочницы Android (например, Adobe Flash, Google Wallet и т. д.).
Подобная уязвимость обнаруживается в Android не в первый раз. В июле 2014 г. специалисты этой же компании, Bluebox, нашли в операционной системе баг, позволяющий хакеру модифицировать код установочного APK-файла и превратить в троян любое подлинное приложение. Как сообщили эксперты, данная ошибка существует на 900 млн устройств под управлением разработанной Google операционной системы.