Опасная уязвимость в Android позволяет обойти подпись приложения

11 декабря 2017

Миллионы Android-устройств находятся в зоне риска в связи с новой опасной уязвимостью, проэксплуатировав которую атакующие могут заменить установленные на гаджете легитимные версии приложений вредоносными.

Проблема (CVE-2017-13156), получившая название Janus, позволяет злоумышленникам модифицировать код Android-приложений, не нарушая их цифровую подпись. Уязвимость затрагивает приложения, использующие схему подписи APK Signature Scheme v1 (Android 5.0 и выше). Отметим, в Android 7.0 Nougat данный метод заменен на APK Signature Scheme v2, который уже имеет защиту.

Уязвимость связана с процессом установки Android APK некоторых приложений, предоставляющим возможность добавления дополнительных байтов кода в APK файл без нарушения цифровой подписи. Как правило, если проверка подписи проходит успешно, программа скомпилируется в файл формата DEX для последующей работы на устройстве. Суть проблемы заключается в том, что она позволяет объединить оригинальный APK с модифицированным исполняемым файлом DEX (Dalvik EXecutable). В этом случае система установит приложение, а затем запустит код из заголовка DEX. Другими словами, злоумышленникам не потребуется изменять код легитимного приложения, они могут просто добавить несколько строк вредоносного кода в оригинальную программу.

Создав вредоносную версию легитимного приложения, злоумышленники могут распространять ее различными способами, например, посредством спам-рассылок, атак «человек посередине» или через сторонние магазины приложений.

Как пояснили исследователи GuardSquare, обнаружившие уязвимость, обмануть пользователя достаточно легко, поскольку вредоносная версия приложения ничем не отличается от легитимной и обладает настоящей цифровой подписью.

Эксперты проинформировали Google об уязвимости летом текущего года. Компания выпустила соответствующее исправление в рамках пакета декабрьских обновлений безопасности для Android. Плохая новость заключается в том, что большинство владельцев Android-устройств получат корректирующие обновления не раньше следующего месяца, когда производители выпустят соответствующие патчи.

Так как данная уязвимость не затрагивает Android 7 (Nougat), пользователям, устройства которых работают на более ранних версиях Android, рекомендуется обновить ОС. Если по каким-либо причинам это невозможно, эксперты советуют не устанавливать приложения и обновления из сторонних источников для минимизации риска взлома.


Другие новости

16 ноября

Федеральная налоговая служба сообщила, когда предприниматели на ЕНВД смогут использовать новую форму налоговой декларации для оформления вычета за покупку кассовой техники.

23 октября

Нарушители будут привлекаться к дисциплинарной ответственности, а контрактники — досрочно уволены.

23 октября

Лига безопасного интернета предложила ввести ответственность для соцсетей и поисковиков за запрещенный контент.

23 октября

В некоторых случаях затраты на мобильный интернет достигают $385.