Video: App Bundles: Everything to know about Play App Signing - MAD Skills (November 2024)
Chyba zabezpečenia v operačnom systéme Android umožňuje útočníkom vziať existujúcu aplikáciu, vložiť škodlivý kód a znova ho zabaliť takým spôsobom, aby mohol predstierať, že ide o pôvodnú aplikáciu. Mali by ste sa báť?
Vedci spoločnosti Bluebox Security našli chybu v spôsobe overovania kryptografických podpisov pre aplikácie. Jeff Forristal, technický riaditeľ spoločnosti Bluebox, napísal na firemný blog 3. júla. To znamená, že útočníci mohli aplikáciu upraviť bez toho, aby zmenili jej kryptografický podpis.
Táto chyba je asi od roku Android 1.6 („Šiška“) a spôsobila, že „99 percent“ zariadení alebo „akýkoľvek telefón s Androidom prepustený za posledné štyri roky“ bolo napadnuteľných, tvrdí Forristal.
Strašidelný scenár vyzerá takto: legitímna aplikácia (napríklad aplikácia Google) je upravená tak, aby ukradla heslá alebo pripojila zariadenie k botnetu a uvoľnila ju na stiahnutie používateľom. Pretože obe aplikácie majú rovnaký digitálny podpis, bude pre používateľov ťažké vedieť, čo je skutočné a čo je falošné.
No, ani nie.
Som v nebezpečenstve?
Google aktualizoval Google Play tak, aby boli k dispozícii šeky na blokovanie škodlivých aplikácií využívajúcich toto zneužívanie na maskovanie ako niektorá iná aplikácia.
Ak inštalujete aplikácie a aktualizácie zo služby Google Play, toto zneužitie vám nehrozí, pretože spoločnosť Google podnikla kroky na zabezpečenie trhu s aplikáciami. Ak sťahujete aplikácie z trhov tretích strán, dokonca aj z polooficiálnych obchodov, ako sú predajne aplikácií Samsung a Amazon, ste v ohrození. V súčasnej dobe môže byť užitočné zastaviť používanie týchto trhov.
Spoločnosť Google odporúča, aby používatelia zostali mimo trhu aplikácií pre Android od tretích strán.
Čo ešte môžem spraviť?
Je tiež dôležité pamätať na to, že by ste sa vždy mali pozrieť na to, kto je vývojár. Aj keď to robí trojanizovaná aplikácia prostredníctvom služby Google Play alebo ak ste v inom obchode s aplikáciami, táto aplikácia nebude uvedená pod pôvodným vývojárom. Napríklad, ak útočníci prebalia Angry Birds pomocou tejto zraniteľnosti, nová verzia by nebola uvedená na účet Rovio.
Ak sa chcete uistiť, že nemôžete inštalovať aplikácie zo zdrojov tretích strán, prejdite do časti Nastavenia> Zabezpečenie a skontrolujte, či nie je začiarknuté políčko pre inštaláciu aplikácií z „neznámych zdrojov“.
Ak máte najnovšiu verziu systému Android, ste chránení aj vstavaným systémom kontroly aplikácií, pretože kontroluje aplikácie, ktoré pochádzajú z iných zdrojov, ako je Google Play. To znamená, že aj keď omylom nainštalujete zlú aplikáciu, váš telefón by mohol škodlivý kód zablokovať.
Existujú tiež bezpečnostné aplikácie pre Android, ktoré dokážu zistiť škodlivé správanie a upozorniť vás na problematickú aplikáciu. Spoločnosť PCMag odporúča mobilnú bezpečnosť Bitdefender Choice našich editorov.
Je útok pravdepodobný?
„Len preto, že„ hlavný kľúč “ešte nebol využitý, ešte neznamená, že môžeme odpočívať na vavrínoch, “ uviedol pre agentúru SecurityWatch Grayson Milbourne, riaditeľ bezpečnostnej spravodajskej služby spoločnosti Webroot. Zabezpečenie mobilných telefónov by sa malo týkať ochrany zariadenia zo všetkých strán - ochrany identity, ktorá chráni heslá a ďalšie osobné informácie, blokovania škodlivého softvéru a škodlivých aplikácií, a schopnosti zariadenia nájsť, ak dôjde k jeho strate alebo krádeži, uviedol Milbourne.
Bluebox nahlásil chybu spoločnosti Google vo februári a spoločnosť Google už vytlačila záplatu svojim hardwarovým partnerom v aliancii Open Handset Alliance. Niekoľko výrobcov telefónov už vydalo záplaty na odstránenie problému. Dopravcovia musia teraz opraviť koncových používateľov.
„Je na výrobcoch zariadení, aby vyrábali a vydávali aktualizácie firmvéru pre mobilné zariadenia (a navyše pre používateľov, aby si tieto aktualizácie nainštalovali), “ povedal Forristal. Bluebox plánuje odhaliť ďalšie podrobnosti počas konferencie Black Hat v Las Vegas koncom tohto mesiaca.
Pau Oliva Fora, inžinier v mobilnej bezpečnostnej spoločnosti viaForensics, zverejnil dôkaz o zneužívaní tejto zraniteľnosti na serveri github 8. júla. Fora vytvorila shell skript po prečítaní podrobností o chybe, ktorú poslal tím Cyanogenmod. Cyanogenmod je populárna verzia systému Android, ktorú si používatelia môžu nainštalovať na svoje zariadenia. Tím už chybu odstránil.
Ak patríte medzi niekoľko málo šťastných používateľov, ktorí od operátora dostanú aktualizáciu systému Android, nezabudnite si ju okamžite stiahnuť a nainštalovať. Aj keď sú riziká nízke, aktualizácia operačného systému je jednoducho dobrý bezpečnostný zmysel.