Уязвимость в Android позволяет зловреду выдавать себя за доверенное приложение
Новости Безопасность
В миллионах Android-устройств присутствует критическая уязвимость, позволяющая зловреду выдавать себя за доверенное приложение, сообщается в блоге «Лаборатории Касперского». В итоге атакующий получает возможность производить разные действия, в том числе внедрять вредоносный код в легитимные приложения и даже установить полный контроль над зараженным устройством.
Данная уязвимость является следствием несовершенства верификатора сертификатов и актуальна для всех версий Android, с 2.1 до 4.4 (KitKat). По словам исследователей из компании Bluebox Security, обнаруживших эту брешь, риск потери контроля вследствие эксплуатации особенно высок для тех пользователей, у которых установлено расширение администрирования компании 3LM, включая владельцев HTC, Pantech, Sharp, Sony Ericsson и Motorola.
Android-приложения подписываются цифровыми сертификатами, удостоверяющими разработчика, однако Bluebox обнаружила, что штатный инсталлятор Android не проверяет аутентичность сертификатов, которыми подписано конкретное приложение.
«Атакующий, к примеру, может создать новый цифровой сертификат, указать издателем Adobe Systems и подписать приложение, включив в цепочку поддельный сертификат и сертификат Adobe Systems», – поясняют исследователи. – При установке АРК-файла инсталлятор не проверяет подлинность издателя и создает сигнатуру, содержащую оба сертификата. Это, в свою очередь, вводит в заблуждение механизм проверки сертификатов в менеджере WebView-плагинов (который не преминет проверить цепочку на наличие сертификата Adobe) и позволяет приложению получить особые привилегии WebView-плагина, назначаемые продуктам Adobe Systems. Результат – обход песочницы и внедрение вредоносного кода под видом WebView-плагина в другое приложение».
Технический директор Bluebox Security Джефф Форристал (Jeff Forristal) отметил, что эксплуатировать данную уязвимость можно разными способами. Он оценивает эту уязвимость как очень опасную и подготовил специальную презентацию, которую представит на конференции Black Hat, которая будет проходить со 2 по 7 августа в Лас-Вегасе.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
