V Androidu je čtyři roky závažná bezpečnostní chyba

S informací přišel americký startup Bluebox Security, který chybu objevil a na konferenci Black Hat ji minulý měsíc prezentoval publiku. Tato zranitelnost využívá způsobu, jakým jsou androidové aplikace kryptograficky ověřovány, a umožňuje útočníkovi pozměnit soubor APK bez poškození kryptografického podpisu.

Když je aplikace nainstalována na zařízení, Android uloží její digitální podpis a všechny další aktualizace pro danou aplikaci musejí mít stejný podpis, aby se ověřilo, že pocházejí od jednoho autora. Chyba, kterou objevil Bluebox, však útočníkům umožňuje přidávat nebezpečný kód do již podepsaných aplikací bez prolomení digitálního podpisu.

Chyba v Androidu existuje od jeho verze 1.6 (kódové označení Donut), což znamená, že je ve všech zařízeních s tímto operačním systémem vydaných v uplynulých čtyřech letech. „V závislosti na typu aplikace může útočník chybu zneužít pro cokoli od krádeže dat až po vytvoření mobilního botnetu,“ uvedl Bluebox. Útočníci díky chybě mohou také získat plnou kontrolu nad zařízením.

Aplikace s trojskými koňmi se v současné době distribuují pomocí řady cest, především mailu, webových stránek nebo nahráním do obchodů s aplikacemi. Dobrou zprávou je, že distribuce závadných aplikací využívajících objevené chyby přes obchod Google Play není možná, jelikož Google pozměnil vstupní ověřovací proces pro aplikace tak, aby tomuto problému zabránil. Společnost navíc uvedla, že v jejím obchodu žádný software, který by byl zneužit výše uvedeným způsobem, není.

Pokud však útočník přesvědčí uživatele, aby nebezpečnou aktualizaci pro aplikaci staženou z Google Play nainstaloval manuálně, celý program v mobilním zařízení bude nahrazen novou verzí a nadále již nebude komunikovat s Google Play. Googlu byla existence chyby oznámena v únoru a v březnu Bluebox informace o ní poskytl svým partnerům v Open Handset Alliance. Ti se musí nyní rozhodnout, jak se k ní postaví. Podle Blueboxu je zatím proti chybě chráněn pouze jeden chytrý telefon, a to Samsung Galaxy S4. Google na aktualizaci pro svá zařízení Nexus stále pracuje.

Dostupnost aktualizací firmwaru pro tento problém se bude lišit podle jednotlivých zařízení, výrobců a operátorů. Otázkou v řadě případů bude, zda výrobci spolu s operátory vůbec vyhodnotí riziko jako dostatečné. „Ideální by bylo, pokud by všichni vydali aktualizaci, která tento bezpečnostní problém vyřeší, avšak z reality víme, že to takto bohužel nefunguje,“ uvedl Jeff Forristal z Blueboxu.