html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Уязвимость в Android позволяет злоумышленникам превратить любое приложение в троян

Исследовательская группа Bluebox Security Labs недавно обнаружила уязвимость в модели обеспечения безопасности Android, которая позволяет изменить код приложения .apk, не повреждая криптографическую подпись приложения. Таким образом можно превращать любое подписанное приложение в троянскую программу. Причем подмены абсолютно никто не заметит. Ни Play Market, ни телефон, ни пользователь.
Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета.




Для частных лиц и предприятий (вредоносное приложение может получить доступ к отдельным данным, или проникнуть в предприятия) опасность достаточно велика, тем более, если учесть, что приложения, разработанные производителями устройств (например, HTC, Samsung, Motorola, LG) или третьих лиц, которые работают в сотрудничестве с производителем устройства, имеют особые привилегии в Android.

Внедрение кода в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным). У приложения тогда будет возможность не только считывать произвольные данные приложения на устройстве (электронная почта, SMS-сообщения, документы, и т.д.), но и будет шанс получить доступ к сохраненным паролям. Причем это не помешает нормально функционировать телефону и управлять любой функцией (сделать произвольные телефонные вызовы, отправить произвольные SMS-сообщения, включить камеру и записать вызов). Наконец, можно создать целый ботнет.




Как это работает:
Все приложения Android имеют криптографические подписи, которые позволяют операционной системе Android определить и проверить — вмешались ли в код программы или нет. Когда приложение установлено, то для него создается песочница, Android записывает цифровую подпись этого приложения. Все последующие обновления для приложения должны соответствовать этой самой подписи, чтобы проверить, что оно от того же автора.

Уязвимость использует несоответствие, которое допускается при модификации приложения APK, при этом не повреждая криптографическую подпись приложения. Простыми словами, уязвимость позволяет обмануть Android и он будет думать, что приложение не было изменено.




В своей презентации Джефф расскажет о баге 8219321 в Android OS, о котором он сообщил в Google в феврале этого года, и об эксплойте, который работает практически на всех Android-устройствах, независимо от их возраста.

Снимок экрана демонстрирует, что Bluebox Security изменили приложение от производителя так, что теперь у них есть полный доступ к устройству. В данном случае компания изменила информацию о программном обеспечении устройства.




Злоумышленники могут использовать множество методов, чтобы распространить такие троянские приложения, включая отправку их по электронной почте, загружая их на сторонний Маркет, размещая их на любом веб-сайте. Некоторые из этих методов, особенно сторонние репозитории приложений, уже используются, чтобы распространить вредоносное программное обеспечение для Android. Используя Google Play, чтобы распространить приложение, которые было изменено, — не получится. Потому что Google обновил процесс записи приложения в Маркет, дабы блокировать приложения, которые содержат эту проблему.

Между прочим, Google был уведомлен относительно уязвимости еще в феврале, и компания поделилась информацией с их партнерами. И теперь партнерам нужно решить, когда выпустить обновление для устройств. Форристэл подтвердил, что одно устройство, Samsung S4, уже имеет заплатку, которая демонстрирует, что некоторые производители устройств уже начали выпускать патчи. Google еще не выпустил патч для своих Nexus устройств, но компания работает над этим.
Читать дальше
Twitter
Одноклассники
Мой Мир

материал с habrahabr.ru

0

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • habrahabr.ru
          • домен habrahabr.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции