Android

Każdy może zmodyfikować aplikację na Androida. Dowolną. Ile jeszcze dziur kryje zielony robot?

51

. Lukę wskazał  Jeff Forristal z Bluebox Security, który ma już na swoim koncie odkrycie kilku innych poważnych błędów w systemie Google'a. Tym razem sprawa dotyczy samych aplikacji, których zabezpieczenia są na tyle nieszczelne, że pozwalają na swobodną modyfikację kodu bez konieczności tworzeni...

.

Lukę wskazał  Jeff Forristal z Bluebox Security, który ma już na swoim koncie odkrycie kilku innych poważnych błędów w systemie Google'a. Tym razem sprawa dotyczy samych aplikacji, których zabezpieczenia są na tyle nieszczelne, że pozwalają na swobodną modyfikację kodu bez konieczności tworzenia nowego certyfikatu developerskiego. Jaki może być tego rezultat? Zmodyfikowana w ten sposób aplikacja może swobodnie przejść przez zabezpieczenia sklepu, a także samego urządzenia. Słowem - instalujemy ją tak, jakby to była zwyczajna, normalna i oryginalna produkcja.

Co najgorsze, błąd ten odkryto już w wersji 1.6 Androida, a więc nawet urządzenia sprzed kilku lat mogą być narażone na ataki. Forristal szacuje, że łącznie może to być aż 900 mln urządzeń. Ile z nich ma już na swoim pokładzie złośliwy kod ukryty w takich aplikacjach? Puszczając wodze wyobraźni, możemy tylko spekulować o rozmiarach tworzonego w ten sposób botnetu, wykradzionych danych czy utraconych dostępach do kont bankowych i nie tylko.

Rzecz jasna największe zagrożenie niesie za sobą instalowanie aplikacji z innych źródeł niż Google Play, co jednak trudno uznać za regułę. Jeżeli autor złośliwego kodu się postara, nie powinien mieć też problemu z wprowadzeniem swojego produktu do sklepu Google, co jak pokazuje historia znalezionych tam niebezpiecznych aplikacji wcale nie jest trudne. Szczególnie narażeni mogą być użytkownicy korporacyjni, którzy korzystają z zaawansowanych, otrzymujących szerokie uprawnienia aplikacji, a także pasjonaci lubujący się w modyfikowaniu swojego Androida i przyznawaniu praw roota wielu instalowanym programom.

Co prawda, Forristal zgłosił lukę do Google'a, ale czy to cokolwiek zmienia? Urządzenia, które aktualnie mają na pokładzie Androida 1.6-2.3 na pewno żadnej aktualizacji ani szybkiego hotfixa nie otrzymają. Nieco lepiej wygląda sytuacja pozostałych, ale tutaj też trudno mówić w wielu przypadkach o pewności. Spójrzmy zresztą na HTC One S i obiecaną aktualizację, z której jednak producent się wycofuje (a potem pewnie jeszcze dziwi, czemu popularność jego urządzeń spada). Okazuje się, że fragmentacja Androida ma jeszcze jedną ciemną stronę, której nie sposób przeskoczyć wobec aktualnej polityki producentów sprzętu.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu