Независимая группа исследователей выявила в операционной системе Android уязвимости в системе безопасности, эксплуатируя которые можно полностью получить контроль над мобильной операционной системой.
Уязвимость затрагивает способ, которым Android разрешает легитимным приложениям (имеющим специальную криптографическую подпись) устанавливаться в системе и обеспечивать целостность кода приложений.
В компании Bluebox говорят, что изначально система цифровой подписи нужна для уверенности в том, что устанавливаемое приложение именно то, за которое себя выдает, а кроме того оно не модифицировалось в процессе доставки пользователю. Однако в системе проверки этой целостности был выявлен баг, причем баг существует с момента версии Android 1.6, то есть почти четыре года, сообщает cybersecurity.ru.
Хакеры, использующие данную уязвимость могут модифицировать код, включая в него бэкдоры, кейлоггеры и другие вредоносные начинки, оставляя верификационную подпись неизменной. Вредоносные приложения эксплуатируют ту же системную функцию, что и легитимные. По словам специалистов, это особенно опасно, когда модифицируемое приложение изначально было выпущено производителем аппарата и имеет широкие системные привилегии. Помимо этого, вредоносные приложения получают автоматический доступ к системе повышения привилегий, которая управляется самой операционной системой.
«Приложение тогда может не только считывать данные на устройстве, такие как email, SMS или документы, но и получать доступ к паролям от разных аккаунтов, которые записаны в памяти смартфона или планшета. Также приложение может получать доступ к обычным функциям телефона, таким как короткие сообщения, номера звонков, включение и выключение камеры. Наконец, самое неприятное хакеры могут создать из телефона постоянно активное устройство, входящее в ботсеть», говорится в сообщении Bluebox.
Также в Bluebox говорят, что только сейчас публикуют данные о проблеме, тогда как самой Google сообщили об этом еще в феврале.