Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Android błędnie weryfikuje podpisy aplikacji?

04 lipca 2013, 09:55 | W biegu | 0 komentarzy

Zespół Bluebox Security poinformował właśnie, że możliwe jest zmodyfikowanie aplikacji w formacie APK w taki sposób, że podpis kryptograficzny kodu będzie nadal poprawnie weryfikowany przez Androida. Oznacz to, że złośliwe modyfikacje aplikacji mogą potencjalnie zostać wprowadzone do systemu bez jakiegokolwiek ostrzeżenia dla użytkownika końcowego.

Na razie nie są znane szczegóły — te zostaną ujawnione dopiero podczas konferencji Black Hat USA 2013, jednak problem leży w rozbieżnościach pomiędzy procesem instalacji aplikacji, a funkcją weryfikacji poprawności jej podpisu:

The vulnerability involves discrepancies in how Android applications are cryptographically verified & installed, allowing for APK code modification without breaking the cryptographic signature.

Jak słusznie ostrzegają badacze, szczególne zagrożenie związane jest z potencjalnymi modyfikacjami aplikacji wysoko uprzywilejowanych, czyli np. tworzonych przez producentów poszczególnych urządzeń.

Installation of a Trojan application from the device manufacturer can grant the application full access to Android system and all applications (and their data) currently installed. The application then not only has the ability to read arbitrary application data on the device (email, SMS messages, documents, etc.), retrieve all stored account & service passwords, it can essentially take over the normal functioning of the phone and control any function thereof (make arbitrary phone calls, send arbitrary SMS messages, turn on the camera, and record calls).

Firma Google została poinformowana o powyższej podatności już w lutym tego roku, jednak opracowanie i opublikowanie odpowiednich poprawek oprogramowania wewnętrznego dla poszczególnych urządzeń leży obecnie po stronie producentów takich jak HTC, Samsung, Motorola, czy LG.

Według badaczy zagrożonych jest około miliard urządzeń pracujących na całym świecie, warto jednak zauważyć, że do przeprowadzenia udanego ataku wymagana jest… instalacja złośliwej wersji oprogramowania przez samego użytkownika końcowego. Podatność z całą pewnością nie jest więc krytyczna, jak zawsze warto jednak dokładnie weryfikować źródło pochodzenia pobieranych i instalowanych aplikacji!

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz