ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Extra Field

#9695860

Extra Field — это уязвимость в Google Android, позволяющая злоумышленникам изменять содержимое установочного пакета любого приложения для этой ОС, не повредив его цифровую подпись. При помощи данной уязвимости вирусописатели могут распространять троянские программы, внедрив вредоносный компонент в какое-либо легитимное или доверенное приложение.

Антивирус Dr.Web для Android не может ликвидировать данную уязвимость, поскольку она обнаруживается на уровне самой операционной системы, однако успешно определяет и удаляет распространяющиеся с ее помощью вредоносные программы еще при попытке их проникновения и запуска на защищаемом устройстве.

Технические подробности

Дистрибутивы приложений для операционной системы Google Android распространяются в виде .APK-файлов, представляющих собой ZIP-архив, в котором содержатся все необходимые для работы приложения компоненты. В процессе установки программы они извлекаются из архива и их контрольные суммы проверяются по специальному списку. Каждое приложение имеет свою цифровую подпись.

Используя уязвимость Extra Field, злоумышленники могут изменить структуру APK-архива: при добавлении в его служебное поле значения одного из оригинальных компонентов программы (в частности, файла classes.dex) без трех первых байт с одновременным размещением на его месте модифицированной версии этого файла, последняя воспринимается операционной системой как легитимная и допускается к установке. Несмотря на то, что потенциальное использование этой уязвимости ограничено размером dex-файла, который должен составлять не более 65 533 байт, заинтересованные в атаке киберпреступники вполне могут без труда ей воспользоваться, взяв за основу безобидную программу или игру, имеющую компонент соответствующего размера.

Файл classes.dex содержит скомпилированный код приложения внутри APK-файла. Заголовок APK-пакета включает некоторое пространство, в котором хранится имя файла с расширением .dex, а также поле, называемым extra field, в котором хранится само содержимое файла classes.dex и список используемых приложением классов. Если поле заголовка сокращается на три байта, меняется значение длины соответствующего поля, что позволяет злоумышленникам включить в extra field оригинальный classes.dex, а также вредоносную копию данного файла, часть которого также будет размещаться в extra field. Видоизмененное поле может содержать созданные злоумышленниками классы, несущие вредоносную функциональную нагрузку. При установке приложения операционная система читает содержимое данного поля, в результате чего на атакуемое устройство устанавливается модифицированный злоумышленниками файл classes.dex.

Читайте также описания других уязвимостей