В Android нашли глобальную уязвимость, затрагивающую 99% устройств
Специалисты стартапа Bluebox нашли в модели безопасности ОС Android уязвимость, позволяющую модифицировать код установочного (APK) файла и превратить в троянский вирус любое подлинное приложение. Изменение не смогут заметить ни пользователь, ни администраторы каталога, ни само мобильное устройство.
Все Android-приложения обладают криптографическими подписями, позволяющими определить подлинность определенного приложения. При этом в различных приложениях проверка выполняется по-разному, что и стало основой уязвимости. Приложение можно модифицировать без нарушения криптографической подписи. Хакер в силах использовать уязвимость в своих целях (кража данных, создание мобильного ботнета и проникновение в корпоративную систему предприятия). Помимо прочего, хакеру под силу модифицировать приложения, устанавливаемые такими компаниями как Samsung или HTC, которое обладает специальными привилегиями для работы с системными процессами. Злоумышленник может получить полный доступ к системе, приложениям, учетным записям, паролям и всевозможным функциям, среди которых телефонные звонки, сообщения и камера.
Уязвимость содержится во всех версиях Android начиная с 1.6 Donut, выпущенной четыре года назад, то есть касается 900 млн устройств, функционирующих сейчас на ОС от Google. Масштаб уязвимости оказался довольно широк, потому эксперты Bluebox проинформировали общественность только сейчас, а не в феврале, когда корпорация Google получила сведения об обнаруженной уязвимости. Владельцам Android-смартфонов рекомендуется внимательнее относиться к приложениям, которые они планируют установить, особое внимание уделяя имени разработчика, регулярно обновлять ОС и внедрять совершенные механизмы защиты данных. Уязвимости в системе Android встречаются регулярно, однако такого большого масштаба они никогда не имели. Согласно данным Juniper Networks, пользователи могут обезопасить себя от половины вредоносных приложений в случае регулярного обновления Android на самую позднюю версию.
