Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Extra Field

#9695860

Extra Field — это уязвимость в Google Android, позволяющая злоумышленникам изменять содержимое установочного пакета любого приложения для этой ОС, не повредив его цифровую подпись. При помощи данной уязвимости вирусописатели могут распространять троянские программы, внедрив вредоносный компонент в какое-либо легитимное или доверенное приложение.

Антивирус Dr.Web для Android не может ликвидировать данную уязвимость, поскольку она обнаруживается на уровне самой операционной системы, однако успешно определяет и удаляет распространяющиеся с ее помощью вредоносные программы еще при попытке их проникновения и запуска на защищаемом устройстве.

Технические подробности

Дистрибутивы приложений для операционной системы Google Android распространяются в виде .APK-файлов, представляющих собой ZIP-архив, в котором содержатся все необходимые для работы приложения компоненты. В процессе установки программы они извлекаются из архива и их контрольные суммы проверяются по специальному списку. Каждое приложение имеет свою цифровую подпись.

Используя уязвимость Extra Field, злоумышленники могут изменить структуру APK-архива: при добавлении в его служебное поле значения одного из оригинальных компонентов программы (в частности, файла classes.dex) без трех первых байт с одновременным размещением на его месте модифицированной версии этого файла, последняя воспринимается операционной системой как легитимная и допускается к установке. Несмотря на то, что потенциальное использование этой уязвимости ограничено размером dex-файла, который должен составлять не более 65 533 байт, заинтересованные в атаке киберпреступники вполне могут без труда ей воспользоваться, взяв за основу безобидную программу или игру, имеющую компонент соответствующего размера.

Файл classes.dex содержит скомпилированный код приложения внутри APK-файла. Заголовок APK-пакета включает некоторое пространство, в котором хранится имя файла с расширением .dex, а также поле, называемым extra field, в котором хранится само содержимое файла classes.dex и список используемых приложением классов. Если поле заголовка сокращается на три байта, меняется значение длины соответствующего поля, что позволяет злоумышленникам включить в extra field оригинальный classes.dex, а также вредоносную копию данного файла, часть которого также будет размещаться в extra field. Видоизмененное поле может содержать созданные злоумышленниками классы, несущие вредоносную функциональную нагрузку. При установке приложения операционная система читает содержимое данного поля, в результате чего на атакуемое устройство устанавливается модифицированный злоумышленниками файл classes.dex.

Читайте также описания других уязвимостей

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А