Ошибка главного ключа Android не рискует, если вы придерживаетесь Google Play

Уязвимость в операционной системе Android позволяет злоумышленникам забрать существующее приложение, внедрить вредоносный код и упаковать его таким образом, чтобы оно могло притвориться исходным приложением. Должны ли вы беспокоиться?

Исследователи из Bluebox Security обнаружили недостаток в способе проверки криптографических подписей для приложений, пишет Джефф Форристал, технический директор Bluebox, в блоге компании 3 июля. Это означает, что злоумышленники могут изменить приложение, не меняя его криптографическую подпись, сказал Форристал.

По словам Форристала, этот недостаток существует с Android 1.6 («Пончик») и делает «99 процентов» устройств или «любой телефон Android, выпущенный за последние четыре года» уязвимым для атак.

Страшный сценарий выглядит примерно так: легитимное приложение (например, приложение Google) модифицируется для кражи паролей или подключения устройства к ботнету и выпускается для загрузки пользователями. Поскольку оба приложения имеют одинаковую цифровую подпись, пользователям будет сложно узнать, что является реальным, а что - подделкой.

Ну не совсем.

Я в опасности?

Google обновил Google Play, чтобы были установлены проверки для блокировки любых вредоносных приложений, использующих этот эксплойт для маскировки под какое-либо другое приложение.

Если вы устанавливаете приложения и обновления из Google Play, то вы не рискуете использовать этот эксплойт, поскольку Google предпринял шаги для защиты рынка приложений. Если вы загружаете приложения со сторонних торговых площадок, даже полуофициальных, таких как магазины приложений Samsung и Amazon, то вы рискуете. В настоящее время, возможно, стоит воздержаться от использования этих торговых площадок.

Google рекомендует пользователям держаться подальше от сторонних рынков приложений для Android.

Что еще я могу сделать?

Также важно помнить, что вы всегда должны смотреть, кто является разработчиком. Даже если троянское приложение работает через Google Play или вы находитесь в другом магазине приложений, оно не будет отображаться в списке первоначального разработчика. Например, если злоумышленники переупаковывают Angry Birds с помощью этой уязвимости, новая версия не будет указана под учетной записью Rovio.

Если вы хотите убедиться, что не можете устанавливать приложения из сторонних источников, перейдите в «Настройки»> «Безопасность» и убедитесь, что флажок для установки приложений из «неизвестных источников» не установлен.

Если у вас установлена ​​последняя версия Android, то вы также защищены встроенной системой сканирования приложений, поскольку она сканирует приложения, полученные из источников, отличных от Google Play. Это означает, что даже если вы по ошибке установили плохое приложение, ваш телефон все равно может заблокировать вредоносный код.

Существуют также приложения безопасности для Android, которые могут обнаруживать злонамеренное поведение и оповещать вас о нарушающем приложении. PCMag рекомендует выбор редакции Bitdefender Mobile Security.

Вероятна ли атака?

«Тот факт, что« главный ключ »еще не использовался, не означает, что мы можем почивать на лаврах», - сказал SecurityWatch Грейсон Милборн, директор по безопасности в Webroot. Безопасность мобильных устройств должна заключаться в защите устройства со всех сторон - защите личных данных для защиты паролей и другой личной информации, блокировании вредоносных программ и вредоносных приложений и возможности найти устройство в случае его утери или кражи, сказал Милборн.

Bluebox сообщил об ошибке Google еще в феврале, и Google уже выпустил патч для своих партнеров по оборудованию в Open Handset Alliance. Несколько производителей телефонов уже выпустили патчи для решения проблемы. Операторы теперь должны довести решение проблемы до конечных пользователей.

«Производители устройств должны производить и выпускать обновления микропрограмм для мобильных устройств (и, кроме того, пользователи должны устанавливать эти обновления)», - сказал Форристал. Bluebox планирует раскрыть подробности во время конференции Black Hat в Лас-Вегасе в конце этого месяца.

Пау Олива Фора (Pau Oliva Fora), инженер мобильной компании по безопасности viaForensics, 8 июля опубликовала подтверждение концепции использования уязвимости на github. Fora создала сценарий оболочки после прочтения подробностей об ошибке, опубликованной командой Cyanogenmod. Cyanogenmod - это популярная версия Android, которую пользователи могут устанавливать на свои устройства. Команда уже исправила этот недостаток.

Если вы один из немногих счастливчиков, которые получают обновление Android от вашего оператора, обязательно загрузите и установите его прямо сейчас. Даже если риски невелики, обновление ОС - это просто хорошее чувство безопасности.