На днях сотрудники компании Bluebox сообщили об обнаружении в операционной системе Android серьёзной уязвимости, которая может быть использована злоумышленниками для изменения исходного кода любого файла установки (APK) и превращения приложения в троянца, обнаружить которого смогут лишь опытные эксперты в области безопасности программного обеспечения.
Все приложения для Android снабжены криптографическими подписями, позволяющими мобильной платформе устанавливать их подлинность. Проблема данного метода определения заключается в том, что в различных приложениях процесс проверки проходит по-разному, чем и могут воспользоваться злоумышленники, проводящие модификацию приложений без нарушения их цифровой подписи. Приложение с изменённым кодом может быть использованы для чего угодно, включая сюда кражу персональной информации, создание мобильного ботнета и многого другого.
Самый неблагоприятный сценарий может разыграться в том случае, если злоумышленники проведут модификацию системного приложения. Дело в том, что подобное приложение с самого начала предустанавливается самим производителем, поэтому оно обладает более широкими привилегиями, используя которые можно установить полный контроль над системой, а также получить доступ к такой приватной информации, как учётные записи пользователей и пароли к ним. Кроме того, атакующий получит возможность управлять всеми функциями коммуникатора, включая сюда телефонные звонки, сообщения и даже фотокамеру.
Масштабы уязвимости оказались невероятно широки и эксперты в один голос признают, что до сих пор им не приходилось сталкиваться с чем-то подобным. Проблема касается всех смартфонов и планшетных компьютеров, использующих в качестве своей управляющей системы Android 1.6 Donut и более старшие версии — это 99% от общего числа устройств, то есть приблизительно 900 миллионов аппаратов.
Сообщается, что специалисты, обнаружив масштабность проблемы, не стали сообщать о ней в СМИ, а передали все имеющиеся данные по ней в Google ещё в начале года. Однако как именно на это отреагировали в интернет гиганте — неизвестно. Можно предположить, что там занимаются данной проблемой и она будет полностью решена с выходом Android 4.3, релиз которой должен состояться в этом месяце.