Уязвимость Android позволяет скомпрометировать большую часть приложений и устройств

Большинство современных Android-устройств имеет уязвимость, которая позволяет вредоносному ПО взломать установленные на аппарате приложения, данные, или само устройство.

Как сообщает директор по технологиям Bluebox Security Джефф Форристал (Jeff Forristal), ключевая проблема в том, что Android не может утвердить каналы сертификации публичных ключей, которыми подписываются приложения. Из документации Google следует: чтобы получить возможность установки, приложения Android должны иметь цифровую подпись, но нет требования, что цифровой сертификат должен быть выпущен удостоверяющим органом (digital certificate authority). Этот недочет позволяет подписывать Android-приложения самозаверенными сертификатами (self-signed certificates). Кроме того, Android содержит в коде ряд сертификатов некоторых разработчиков, и предоставляет их приложениям привилегированный доступ.

Как утверждают в Forristal, система проверки сертификатов в Android такова, что хакеры могут обойти ее, встраивая вредоносный код в приложения, подписанные сертификатами этих разработчиков, например, Adobe. Встроенный код наследует разрешения, данные приложению, и таким образом получает свободный доступ ко всем данным самого приложения, сетевому трафику, и может выполнять действия, разрешенные приложению на данном устройстве. Уязвимость используется злоумышленниками для атаки на приложения, использующие компонент WebView (отображает веб-контент во встроенном браузере Android) в версиях Android, предшествующих 4.4 KitKat. По данным на начало июля 2014 г. около 88% аппаратов, обращающихся в Google Play, работают на старых версиях Android (до 4.4).

Специалисты Forristal намерены представить подробный доклад об уязвимостях, связанных с цифровыми сертификатами в Android, на конференции Black Hat USA, которая пройдет 2-7 августа 2014 г. в Лас Вегасе (Невада, США).