3

Odkryto lukę w Google Play pozwalającą dodać szkodliwy kod do aplikacji dopiero po jej aktualizacji

Nie od dziś wiadomo, że Google Play ma pewne problemy z bezpieczeństwem. W sklepie z aplikacjami na system Android można znaleźć nie jedną aplikację, która wykrada prywatne dane lub wysyła SMSy premium. Nie istnieją rozwiązania gwarantujące bezpieczeństwo, wie o tym również Apple, które także co jakiś czas dopuści do sklepu jakiegoś szkodnika. Jednak nowy sposób […]

Nie od dziś wiadomo, że Google Play ma pewne problemy z bezpieczeństwem. W sklepie z aplikacjami na system Android można znaleźć nie jedną aplikację, która wykrada prywatne dane lub wysyła SMSy premium. Nie istnieją rozwiązania gwarantujące bezpieczeństwo, wie o tym również Apple, które także co jakiś czas dopuści do sklepu jakiegoś szkodnika. Jednak nowy sposób wprowadzenia szkodliwych aplikacji dotyczy właśnie Google Play i muszę przyznać, że jest całkiem pomysłowy i niebezpieczny dla użytkowników zarazem.

Na wstępie trzeba wyjaśnić, że za odrzucanie szkodliwych aplikacji odpowiada mechanizm Google Bouncer, który skanuje kod aplikacji, a nawet uruchamia je i poszukuje potencjalnie szkodliwych zachowań. Skoro jednak człowiek stworzył zabezpieczenia, człowiek może je również złamać lub obejść.

Jak poinformował serwis The Verge, firma Trustwave, zajmująca się bezpieczeństwem, pochwaliła się, że zna sposób aby wprowadzić do sklepu Play szkodliwą aplikację. W tym celu najpierw należy przygotować pierwszą wersję aplikacji, która nie zawiera szkodliwego kodu i działa tak, jak oczekują tego użytkownicy. W drugiej kolejności należy przygotować aktualizację aplikacji, która doda szkodliwy kod i sprawi, że program który już mamy zainstalowany na telefonie zacznie wykradać nasze zdjęcia, kontakty, czy będzie przekierowywał na szkodliwe strony WWW.

Firmie Trustwave udało się wgrać aplikację do blokowania kontaktów o nazwie „SMS Blocker”, która działała tak, jak miała to zapowiedziane w swoim opisie, a następnie 11 razy zaktualizować ją, za każdym razem dodając jakąś szkodliwą funkcję i wszystkie update’y zostały zaakceptowane bez problemu przez Bouncera, a co za tym idzie, bez przeszkód mogły trafić do użytkowników.

Oczywiście sytuacja nie wygląda tak, że po zaakceptowaniu aplikacji w Google Play, każda szkodliwa aktualizacja przejdzie. Cały myk polega na sposobie maskowania szkodliwych funkcji w aktualizacjach i na razie zna go tylko Trustwave. Szczegóły dotyczące ataku poznamy już jutro, bowiem Trustwave wypowie się na jego temat na konferencji Black Hat.

Trzeba przyznać, że sposób opracowany przez firmę zajmującą się bezpieczeństwem jest o tyle pomysłowy i niebezpieczny, że nie wymaga akcji ze strony użytkownika, który np. zainstaluje aplikację, która ma nierozsądnie szeroki dostęp do naszych danych, biorąc pod uwagę funkcje jaką pełni, czy zaakceptuję inne zmiany. Tym razem użytkownik instaluje normalną aplikację, która dopiero po czasie staje się szkodliwa, bez jego wiedzy i zgody. Nie wiem jak czytelnicy, ale jak zwykle instaluję wszystkie aktualizacje aplikacji, które mi się pojawiają w powiadomieniach. Nie widzę też prostego sposobu, aby dowiedzieć się, czy aktualizacja jest szkodliwa, czy też nie.

Tak to już jest, że na każdym systemie operacyjnym, na każdej platformie, trwa nieustająca rywalizacja, pomiędzy wprowadzaniem zabezpieczeń, a ich łamaniem i obchodzeniem. Nigdy nie można usiąść z założonymi rękami, mając poczucie, że wszystko w temacie bezpieczeństwa zostało zrobione. Mam jednak nadzieję, że Google po jutrzejszej konferencji szybko wprowadzi poprawki, uniemożliwiające wprowadzanie szkodliwych aktualizacji. Wszystko wskazuje na to, że podczas pierwszego etapu autoryzacji aplikacji do sklepu Play programy są dokładniej sprawdzane, niż późniejsze ich update’y. Inaczej początkowe wgrywanie appki pozbawionej szkodliwego kodu nie byłoby konieczne. Teraz wystarczy zastosować ten sam sposób weryfikacji przy aktualizacjach. Znając życie, jest tysiąc powodów, dla których to nie jest takie proste ;)

Źródło grafiki.