Исследовательская компания Bluebox Security заявила о том, что её специалистам удалось найти уязвимость ОС Android, которая касается 99% существующих устройств. При этом отмечается, что данная проблема существует ещё с Android 1.6, но была выявлена специалистами только сейчас, хотя вполне вероятно, что злоумышленники уже ею пользовались.
Как сообщают эксперты, все Android-приложения содержат криптографические подписи, позволяющие операционной системе определять их подлинность. Но эта проверка в различных приложениях выполняется по-разному, что и могут использовать злоумышленники, модифицировав приложение без нарушения криптографической подписи.
“Установка троянского ПО в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным)”, — подчеркивают эксперты Bluebox Security Labs. С помощью троянского приложения злоумышленники могут получать доступ не только к письмам электронной почты, SMS, документам и т. д., но также к учетным записям пользователя. Более того, измененное приложение может контролировать любую функцию мобильного устройства (произвольно совершать звонки и отправлять SMS-сообщения, включать камеру, записывать звонки).
Безопасен только софт, находящийся в официальном Google Play, считают эксперты. Поэтому, чтобы смартфон оказался заражен, приложение должно быть установлено иным способом — к примеру, из стороннего магазина или по вредоносной ссылке
Исследователи отмечают, что особенно опасна модификация приложений, разработанных производителями устройств или сотрудничающими с ними сторонними производителями ПО. Дело в том, что программы такого уровня имеют практически полный доступ ко всем ресурсам устройства и данным, хранящимся в нем. Например, они могут извлекать и пересылать своему хозяину пароли или полностью блокировать аппарат.
Информация о раскрытой уязвимости (bug 8219321) в рамках закрытого двухстороннего обмена была передана в Google ещё в феврале. Публичное раскрытие информации об уязвимости, как запланировано, пройдет на конференции Black Hat USA 2013 в конце июля в США. К этому времени предполагается, что компании-производители смартфонов выпустят обновления прошивок для своих моделей.