iPhone & iPad

Миллионы Android-смартфонов подвержены опасной уязвимости Fake ID

В миллионах Android-устройств присутствует критическая уязвимость, позволяющая зловреду открыто выдавать себя за доверенное приложение. Атакующий получает возможность производить любые действия, в том числе внедрять вредоносный код в легитимные приложения и даже получить полный контроль над зараженным устройством.

Android-Fake-ID-1

Как сообщает Threatpost, уязвимость, которую назвали Fake ID, является следствием несовершенства верификатора сертификатов и актуальна для всех версий операционной системы Android, начиная с 2.1 до 4.4. По словам экспертов Bluebox Security, обнаруживших эту брешь, риск потери контроля вследствие эксплуатации особенно высок для тех пользователей, у которых установлено расширение администрирования компании 3LM, включая владельцев HTC, Pantech, Sharp, Sony Ericsson и Motorola.

Android-приложения подписываются цифровыми сертификатами, удостоверяющими разработчика. Исследователи из Bluebox Security обнаружили, что штатный инсталлятор Android не проверяет аутентичность сертификатов, которыми подписано конкретное приложение.

«Атакующий, к примеру, может создать новый цифровой сертификат, указать издателем Adobe Systems и подписать приложение, включив в цепочку поддельный сертификат и сертификат Adobe Systems», – поясняют эксперты. – При установке АРК-файла инсталлятор не проверяет подлинность издателя и создает сигнатуру, содержащую оба сертификата. Это, в свою очередь, вводит в заблуждение механизм проверки сертификатов в менеджере WebView-плагинов (который не преминет проверить цепочку на наличие сертификата Adobe) и позволяет приложению получить особые привилегии. Результат – обход песочницы и внедрение вредоносного кода под видом WebView-плагина в другое приложение».

Android-Fake-ID-2

В ходе интервью технический директор Bluebox Джеф Форристал рассказал, что эксплуатировать данную уязвимость можно разными способами. Представитель компании оценивает ее как очень опасную и подготовил специальную презентацию, которую через неделю представит в Лас-Вегасе на конференции Black Hat.

«Распространять зловредов с фальшивым ID можно любым способом, будь то ссылка в SMS или легитимный магазин приложений, – заявил Форристал. – Взгляните на другое вредоносное ПО для Android. Нужно всего лишь сделать так, чтобы пользователь сказал: «О да, я хочу эту прогу». А брешь, действительно, серьезная. Абсолютная скрытность и в то же время прозрачность для пользователя, – что еще нужно зловреду? Работает, как часы, так что станет, видимо, очень популярной лазейкой для вредоносных программ».

Еще одной привлекательной мишенью при использовании данной уязвимости является кошелек Google. Атакующий может создать приложение с подписью клиента Google Wallet, которому откроется доступ к NFC-чипу. Здесь хранится информация, необходимая для совершения платежей с использованием протокола NFC – near field communications, связи ближнего радиуса действия, который использует не только Google Wallet, но и ряд других платежных приложений.

По словам Форристала, Bluebox оказала Google помощь в решении проблемы. Патч был выпущен еще в апреле, однако распространение обновления зависит от производителей.

13 комментариев

Написать комментарий