Téměř každá aplikace pro Android se může stát trojanem

Albert Ryba | 04.07.2013 | Bezpečnost, Mobilita | Žádné komentáře

Výzkumníci z bezpečnostní agentury Bluebox Security varují, že již čtyři roky existující chyba v modelu ověřování bezpečnosti aplikací pro Android může vést k tomu, že 99 % těchto aplikací může být útočníky teoreticky změněno v trojan.

CTO společnosti Bluebox Security Jeff Forristal zveřejnil na firemním blogu příspěvek, kde přesně popisuje, jak mohou být díky existující chybě aplikace změněny, aby kradly uživatelská data a nebo se připojovaly k botnetu a přitom se před uživateli, v telefonu i v rámci obchodu s aplikacemi tvářily jako zcela bezproblémové aplikace. Zranitelnost prý existuje od doby uvolnění Androidu 1.6 a týká se tak odhadem skoro 900 milionů přístrojů.

Kritická chyba v zabezpečení je zde

Základem popsané zranitelnosti je skutečnost, jak jsou aplikace pro Android ověřovány a instalovány. Každá aplikace má kryptografickou signaturu, která má zajistit, že obsah nebyl nijak porušený. Nicméně díky chybě je prý ve skutečnosti možné obsah změnit, aniž se signatura změní, což je vážný bezpečnostní problém. Případný útočník tak může aplikaci pozměnit, ale i přesto si systém bude myslet, že je vše v pořádku a uživatel nebude na problém upozorněn. Alespoň tak to tvrdí Bluebox Security.

Forristal říká, že jeho společnost již na problém upozornila Google v únoru letošního roku a chyba dostala identifikační číslo 8219321. Tím to ale víceméně skončilo a Google neudělal žádný zásadní krok pro její odstranění a situaci odmítl blíže komentovat. Zranitelnost ani není v seznamu problémů v rámci projektu Open Handset Alliance a zjevně tedy není ani aktivně řešena.

Potenciální rizika jsou enormní

Sama společnost Bluebox prý změnu kódu aplikace při zachování signatury otestovala a tvrdí, že vše prošlo bez problémů. Pokud je to skutečně pravda, jedná se o obrovskou potenciální hrozbu pro stovky milionů uživatelů, kteří mohou mít instalované aplikace, které se tváří zcela legitimně, ale ve skutečnosti mohou číst jakákoliv data z přístroje, krást hesla k účtům, samovolně generovat telefonní hovory a posílat SMS zprávy či libovolně aktivovat hardware přístroje, jako je třeba kamera nebo mikrofon. V extrémním případě by mohlo dojít k vytvoření obrovského mobilního botnetu. Velké nebezpečí je to zejména pro přístroje s Androidem využívané ve firmách, které by se mohly stát zcela nezvladatelným nástrojem průmyslové špionáže.

Forristal tvrdí, že za opravu problému by měli být zodpovědní výrobci přístrojů, kteří by měli uvolnit nové verze firmwaru. Alternativně by měly být dostupné i patche, které by si mohli uživatelé nainstalovat sami. Další detaily o objevené chybě plánuje společnost Bluebox Security prezentovat na konferenci Black Hat 2013, která se koná na přelomu července a srpna. To by mělo zaručit, že se informace dostanou k širší odborné veřejnosti a problém by mohl být při dostatečném tlaku řešen. Sám Google dlouhodobě rizika spojená s Androidem bagatelizuje, ovšem nyní nelze vyloučit, že by trik mohli začít ve větším měřítku zneužívat i kyberútočníci.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


sedm + = dvanáct

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz