Artykuły dotyczące tematu: sygnatura

dodany: 04.07.2013 | tagi: , , , ,

Poważna dziura w niemal każdym Androidzie

2

Do luk w bezpieczeństwie Androida zdążyliśmy się już przyzwyczaić. Jednak tym razem jest nieco inaczej… Odkryta ostatnio luka dotyczy każdego wydania tego systemu, od wersji Donut (Android 1.6). W rezultacie błąd obecny jest w 99% urządzeń z Androidem wyprodukowanych w przeciągu ostatnich 4 lat!

Luki tej nie można bagatelizować. Pozwala ona na modyfikację kodu plików APK, bez potrzeby zmiany sygnatury. Przez to zmodyfikowana aplikacja, która może być złośliwa, nadal będzie odczytywana jako bezpieczna.

Problem ten odkryli analitycy bezpieczeństwa ze stosunkowo młodej, bo założonej w 2012 roku, firmy Bluebox Labs.

„Na szczęście” możliwość modyfikacji kodu plików APK dotyczy wyłącznie aplikacji dostarczanych bezpośrednio przez samych dostawców urządzeń (np. Samsung, LG, HTC) oraz firm bezpośrednio  z nimi współpracujących. Jest to spowodowane tym, że powyższa luka wymaga specjalnych przywilejów, które zapewnia system dostępu UID.

Czarny scenariusz: tak zmodyfikowana aplikacja może uzyskać pełen dostęp do systemu oraz wszystkich zainstalowanych aplikacji, w tym do gromadzonych danych, haseł, SMS-ów itd. Odpowiednia modyfikacja takiego oprogramowania może posłużyć nawet do stworzenia sieci botnet.

Błąd ten został zgłoszony firmie Google pod numerem 8219321 i co ciekawe został odkryty już w lutym tego roku. Główny odpowiedzialny za problem omówił go na zebraniu grupy Open Handset Alliance w marcu tego roku.

Producenci zatem mieli sporo czasu na usunięcie tego zagrożenia. Tak się jednak nie stało. Jedynie Samsung zatroszczył się o aktualizację niwelującą tę lukę – niestety, tylko dla smartfona Galaxy S IV.

Google nie przedstawiło jeszcze poprawki dla swojego Nexusa… Aktualizacja jest ponoć nadal opracowywana.

Do czasu wydania poprawek zalecana jest ostrożność przy instalowaniu aplikacji od producentów. Szczególnie uważać powinny firmy zezwalające w swojej polityce bezpieczeństwa na BYOD (Bring Your Own Device).

Szczegóły tej luki zostaną przedstawione na nadchodzącej konferencji BlackHat 2013.

Jako ciekawostkę należy przytoczyć fakt, że Google w maju chwaliło się przekroczeniem dziewięćset milionowej aktywacji systemu Android.