Миллионы Android-смартфонов подвержены опасной уязвимости Fake ID

В миллионах Android-устройств присутствует критическая уязвимость, позволяющая зловреду открыто выдавать себя за доверенное приложение. Атакующий получает возможность производить любые действия, в том числе внедрять вредоносный код в легитимные приложения и даже получить полный контроль над зараженным устройством.

Android-Fake-ID-1

Как сообщает Threatpost, уязвимость, которую назвали Fake ID, является следствием несовершенства верификатора сертификатов и актуальна для всех версий операционной системы Android, начиная с 2.1 до 4.4. По словам экспертов Bluebox Security, обнаруживших эту брешь, риск потери контроля вследствие эксплуатации особенно высок для тех пользователей, у которых установлено расширение администрирования компании 3LM, включая владельцев HTC, Pantech, Sharp, Sony Ericsson и Motorola.

Android-приложения подписываются цифровыми сертификатами, удостоверяющими разработчика. Исследователи из Bluebox Security обнаружили, что штатный инсталлятор Android не проверяет аутентичность сертификатов, которыми подписано конкретное приложение.

«Атакующий, к примеру, может создать новый цифровой сертификат, указать издателем Adobe Systems и подписать приложение, включив в цепочку поддельный сертификат и сертификат Adobe Systems», – поясняют эксперты. – При установке АРК-файла инсталлятор не проверяет подлинность издателя и создает сигнатуру, содержащую оба сертификата. Это, в свою очередь, вводит в заблуждение механизм проверки сертификатов в менеджере WebView-плагинов (который не преминет проверить цепочку на наличие сертификата Adobe) и позволяет приложению получить особые привилегии. Результат – обход песочницы и внедрение вредоносного кода под видом WebView-плагина в другое приложение».

Android-Fake-ID-2

В ходе интервью технический директор Bluebox Джеф Форристал рассказал, что эксплуатировать данную уязвимость можно разными способами. Представитель компании оценивает ее как очень опасную и подготовил специальную презентацию, которую через неделю представит в Лас-Вегасе на конференции Black Hat.

«Распространять зловредов с фальшивым ID можно любым способом, будь то ссылка в SMS или легитимный магазин приложений, – заявил Форристал. – Взгляните на другое вредоносное ПО для Android. Нужно всего лишь сделать так, чтобы пользователь сказал: «О да, я хочу эту прогу». А брешь, действительно, серьезная. Абсолютная скрытность и в то же время прозрачность для пользователя, – что еще нужно зловреду? Работает, как часы, так что станет, видимо, очень популярной лазейкой для вредоносных программ».

Еще одной привлекательной мишенью при использовании данной уязвимости является кошелек Google. Атакующий может создать приложение с подписью клиента Google Wallet, которому откроется доступ к NFC-чипу. Здесь хранится информация, необходимая для совершения платежей с использованием протокола NFC – near field communications, связи ближнего радиуса действия, который использует не только Google Wallet, но и ряд других платежных приложений.

По словам Форристала, Bluebox оказала Google помощь в решении проблемы. Патч был выпущен еще в апреле, однако распространение обновления зависит от производителей.

Источник: MacDigger.ru

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.


13 комментариев

  • Алексей 4 года назад
    0
    Может хватит нести чушь?
    • Почему чушь? Думаешь твой андроид защищён настолько хорошо? Как iOS? Пфф...
      • если есть рут то можно установить x-ray который проверяет телефон на уязвимости и устраняет их, я так и делаю и мне на все по сра ка ложи ть
        • Что, патчит исходники ядра и пересобирает его прямо на твоём телефоне? Оу йеа, бейби!
      • Ты сунь лучше реальные факты того, что с помощью сертификатов без рута ты провернешь это. Так можно и на айфон гнать, когда ты ставишь через jail левые твики.
  • Свали отсюда ... :D
  • Хороший Андроид-мёртвый Ведроид!!!:)
  • Хоспаде, какой бред...
  • Это андройд детка...
  • Это же Android! Вот вам и "открытая система"
  • Пойду куплю себе какой-нить ведрофон за 3000 р. или лучше за 1000 р. А то иногда становится скучно жить.
  • Блин, ну как так можно писать код? Его вообще кто-нибудь смотрит перед компиляцией? Ну я понимаю, есть сложные ошибки, которые трудно увидеть. Но тут бл* всего надо проверить, участвует ли сертификат с цепочке или нет. Это очевидно, банально, и не заметить этого нельзя. Видимо, ОС пишут люди на аутсорсе, потом код никто не смотрит. Поделом гугл!
  • Видимо владельцы огрызков не в курсах что fake id и heartbleed существуют и на их девайсах, вот только проверить они этого не могут ибо система то закрыта, как они считают, но закрыта она только для владельца. Огрызки не обольщайтесь.