1. Strona główna
  2. Wiadomości

Czteroletnia luka w Androidzie

  • Janusz Chustecki,
  • IDG News Service,

Informatycy z firmy Bluebox (zajmującej się bezpieczeństwem komputerów) twierdzą, że odkryli lukę w systemie Android, która liczy sobie już cztery lata i może dotyczyć 99% procent urządzeń mobilnych pracujących pod kontrolą tego systemu operacyjnego. Bluebox twierdzi, że błąd pojawił się w już momencie udostępnienia przez Google systemu Android 1.6.

Błąd pozwala hakerom włamywać się do podpisanych cyfrowo aplikacji (nie przejmując kontroli nad podpisami) i modyfikować je, zagnieżdżając np. w nich trojany, które wykradają dane lub przejmują kontrolę nad systemem Android. Luka wykorzystuje błędy istniejące w technologii używanej do weryfikowania autentyczności aplikacji Android. Włamywacz może wtedy zmodyfikować pakiet APK (Android App Package), nie przejmując wcześniej kontroli nad cyfrowym podpisem.

Android pracuje w ten sposób, że po zainstalowaniu aplikacji (i zbudowaniu dla niej środowiska Sandbox) zapisuje towarzyszący jej cyfrowy podpis. Każdorazowa próba zmodyfikowania takiej aplikacji powoduje, że Android sprawdza czy osoba wprowadzająca zmiany jest do tego uprawniona, czyli czy zna cyfrowy podpis. Odkryta przez informatyków z firmy Bluebox luka pozwala jednak wprowadzać do aplikacji różne zmiany bez konieczności podawania cyfrowego podpisu. Luka istnieje już od czterech lat, czyli od momentu pojawienia się na rynku systemu Android noszącego roboczą nazwę Donut (wersja 1.6).

Zobacz również:

Po zagnieżdżeniu w aplikacji złośliwego oprogramowania (np. Trojana), haker może je rozpowszechniać na różne sposoby: za pomocą poczty elektronicznej, umieszczając aplikacje na witrynach lub kopiując je na pamięci USB. Umieszczenie takiej zmodyfikowanej aplikacji (zawierającej złośliwe oprogramowanie) w magazynie Google Play nie jest możliwe, ponieważ Google stosuje zabezpieczenia, które blokują od razu na wejściu taką aplikację. Jeśli jednak haker oszuka twórcę aplikacji (która znajduje się już w magazynie Google Play) i ten zdecyduje się sam wprowadzić do niej złośliwy kod, to taka aplikacja może się jednak znaleźć w magazynie.

Firma Bluebox poinformowała już Google oraz producentów urządzeń mobilnych pracujących pod kontrolą systemu Android (jak i twórców oprogramowania antywirusowego) o swoim odkryciu i można teraz tylko oczekiwać, że podejmą oni tak szybko jak jest to tylko możliwe stosowne kroki, które zapobiegną włamaniom wykorzystującym tę lukę.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem IDGLicensing@theygsgroup.com