Обнаружена уязвимость, затрагивающая более 99% устройств под управлением операционной системы Android, или около 900 миллионов аппаратов в абсолютном выражении. Она содержится во всех версиях ОС, начиная с Android 1.6, выпущенной четыре года назад.
Специалисты компании Bluebox Security Labs сообщили о том, что нашли в модели безопасности Android уязвимость, которая дает возможность хакерам модифицировать код установочного файла и превратить любое подлинное приложение в троянскую программу. При этом изменение не смогут заметить ни пользователь, ни администраторы каталога, куда приложение будет загружено, ни само мобильное устройство, куда его загрузят.
Все приложения для операционной системы Android содержат криптографические подписи, позволяющие системе определить подлинность устанавливаемого приложения. Однако такая проверка в разных приложениях выполняется различным способом. Это и составляет основу уязвимости, используя которую, злоумышленник имеет возможность модифицировать приложение без нарушения криптографической подписи.
В зависимости от типа приложения, уязвимость может быть использована злоумышленниками для любых целей – от кражи данных до создания мобильного ботнета и проникновения в корпоративную систему предприятия.
Кроме того, хакер может модифицировать приложение, которое устанавливает на мобильное устройство сам производитель, и которое имеет определенные привилегии для работы с системными процессами. Таким образом, используя уязвимость, преступник имеет возможность получить полный доступ к операционной системе, всем приложениям и учетным записям пользователя и паролям, получить возможность управления любой функцией, включая телефонные звонки, сообщения и даже камеру.
Специалисты Bluebox отмечают, что решили лишь сейчас проинформировать общественность о наличии уязвимости, поскольку еще в феврале передали сведения об этом компании Google, однако о ее реакции до сих пор ничего неизвестно, а уязвимость по-прежнему существует, и масштаб ее очень широк.
Владельцам Android-смартфонов и планшетных компьютеров рекомендуется обращать внимание на название разработчика приложения, скачиваемого для установки. Что касается компаний и организаций, использующих модель BYOD, при которой сотрудники пользуются своими собственными устройствами, то им следует регулярно обновлять Android до последней версии, а также внедрять дополнительные решения для защиты данных.
В Android уже неоднократно находили уязвимости, однако ранее они никогда не имели таких масштабов. По данным Juniper Networks, за последний год количество вредоносных программ для мобильной операционной системы выросло более чем в семь раз. Однако пользователи системы могли бы защититься от половины вредоносного ПО, если бы использовали последнюю версию ОС.