Бесплатно Экспресс-аудит сайта:

31.07.2014

В Android обнаружена критическая уязвимость Fake ID

Исследователи из Bluebox Security обнаружили в Android критическую уязвимость, получившую название Fake ID. Брешь может быть использована вредоносным ПО для того, чтобы выдавать себя за особые доверенные приложения и получать их привилегии. Fake ID присутствует в Android 2.1 и выше, за исключением Android 4.4.

Уязвимость не затрагивает устройства, в которых исправлена ошибка 13678484 (патч был выпущен Google в нынешнем году). Смартфоны HTC, Pantech, Sharp, Sony Ericsson и Motorola, использующие расширение от 3LM, подвержены риску.

«К примеру, приложение имеет цифровую подпись (то есть, его подлинность подтверждена сертификатом) компании Adobe Systems. Ему разрешено выполнять роль плагина для просмотра web-страниц в других приложениях для поддержки плагина Adobe Flash, -  пояснил  технический директор Bluebox Security Джефф Форристал (Jeff Forristal). – Или другой пример: программе с подписью, определенной файлом nfc_access.xml (обычно подпись приложения Google Wallet), разрешен доступ к аппаратному обеспечению NFC SE. Эти особые привилегии зашифрованы в исходном коде Android (AOSP)».

По словам Форристала, на определенных устройствах приложениям с подписью их производителя или доверенных третьих сторон разрешен доступ к расширениям MDM, которые позволяют управлять устройством.

«Android-приложения используют те же самые концепции удостоверения подписи, что и SSL, включая полную поддержку сертификатов, выданных другими сторонами (так называемую цепочку сертификатов)», - сообщил эксперт.

Уязвимость Fake ID эффективно разрушает эту систему, так как установочный пакет Android не проверяет подлинность цепочки сертификатов. Это позволяет вредоносному ПО выдавать себя за приложения, которым разрешено обходить песочницы Android (например, Adobe Flash, Google Wallet и т. д.).