В Android обнаружена дыра Fake ID

29 июля сан-францисская компания Bluebox Security обнаружила уязвимость в Android. Дыра в безопасности эксплуатирует отсутствие проверки подлинности криптографических сертификатов устанавливаемых приложений. Она позволяет вредоносным программам получать доступ к личным данным пользователя, читать его почту и историю финансовых транзакций. Уязвимость окрестили Fake ID — по аналогии с фальшивым водительским удостоверением, позволяющим американским подросткам проникать в бары и покупать спиртное.

Нелегитимный сертификат позволяет вредоносному приложению вырваться за пределы так называемой «песочницы» (sandbox). Это изолированный ареал обитания низкоуровневого приложения, который ограничивает доступ к другим приложениям и важным элементам Android. Но если приложение притворяется Adobe Flash или Google Wallet, оно может получить доступ ко всем вашим приложениям под видом флеш-плагина — или к вашим кредитным данным под видом платежного NFC-приложения.

По словам Bluebox Security (намеренной продемонстрировать Fake ID в действии на конференции хакеров Black Hat, которая пройдет 2–5 августа), уязвимость присутствовала в Android с версии 2.1 и с 2010 года. В Android 4.4 вредоносным приложениям не так легко вырваться из песочницы (помимо вышеописанных примеров). Но сама уязвимость оставалась незаткнутой во всех версиях Android после 2.1 — включая Android L.

30 июля Google отреагировала на находку патчем, изменениями Google Play и процедуры верификации приложений. Также представители компании уверяют, что они «просканировали все приложения Google Play и не нашли в них следов эксплуатации уязвимости». Патч (о содержании которого ничего не говорится) предназначен не для самих пользователей, а для «партнеров Google», которые должны будут довести его для конечного потребителя.