Chyba, která ohrožuje Android již čtyři roky

8. 7. 2013

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Bezpečnostní trhlina, jež je součástí mobilního OS Android již čtyři roky, umožňuje hackerům modifikovat legitimně podepsané aplikace a proměnit je ve škodlivý kód zneužitelný pro získání citlivých dat.

Vědci z americké společnosti Bluebox Security zabývající se bezpečností mobilních zařízení objevili zásadní bezpečnostní chybu v operačním systému Android a plánují ji zveřejnit a detailně popsat na konferenci Black Hat USA, jež proběhne tento měsíc v Las Vegas.

Útočníci mohou díky chybě zneužít způsob, jakým v Androidu probíhá kryptografické ověřování aplikací. Archivy (soubory .apk) lze modifikovat, aniž by byl porušen jejich digitální podpis. Při běžném provozu je po dokončení instalace aplikace do zařízení operačním systémem zaznamenán digitální podpis. Všechny následné aktualizace aplikace se s tímto podpisem musí shodovat, aby bylo možné ověřit, že pochází od stejného autora.

Tento postup je z hlediska bezpečnostního konceptu navrženého pro OS Android zcela zásadní, neboť zajišťuje, že jsou citlivá data, která si daná aplikace uložila, dostupná pouze jí a jejím novějším verzím podepsaným původním klíčem autora. Nově odhalená bezpečnostní chyba nicméně umožňuje útočníkům přidat do aplikace škodlivý kód, aniž by byl podpis pozměněn.

Co víc, chyba je součástí Androidu již od verze 1.6 Donut, tedy postihuje všechna zařízení vydaná během posledních čtyř let, což dle blogového příspěvku společnosti Bluebox Security činí až 900 milionů elektronických produktů.

K čemu lze zranitelnost zneužít? Nabízí se krádež osobních dat, tvorba mobilního botnetu nebo získání plného přístupu k operačnímu systému, díky čemuž se útočník dostane ke všem datům, účtům a heslům. Pro distribuci modifikovaných aplikací mohou útočníci vyžít různé kanály, jako je například e-mail, obchody s aplikacemi třetích stran či hostování na libovolné webové stránce.

A co na to Google? Prostřednictvím oficiálního online obchodu Google Play není možné upravené aplikace distribuovat, neboť Google aktualizoval proces přidávání nových aplikací tak, aby se zde software s tímto problémem neobjevil. Jeff Forristal, CTO společnosti Bluebox Security, uvedl, že je zatím k dispozici oprava pro jediné zařízení na trhu, Samsung Galaxy S 4. To indikuje fakt, že se někteří výrobci mobilních zařízení sami pustili do vydávání opravných záplat. Pro svá zařízení řady Nexus sám Google zatím opravu nevydal a dle Forristala se doba vydání aktualizací firmwaru bude výrobce od výrobce lišit.

ICTS24

 

Zdroj: IDG News Service, http://bluebox.com