Вы используете устаревший браузер!
Страница может отображаться некорректно.
Свяжитесь с нами Незакрытые запросы:
#13678484
Данная уязвимость, получившая наименование «Fake ID», позволяет вредоносным приложениям выдавать себя за легитимные доверенные программы для ОС Android при помощи поддельной или скомпрометированной цифровой подписи. С использованием этой уязвимости на атакуемом устройстве может быть установлена и запущена троянская программа, реализующая тот или иной опасный функционал.
Уязвимость выявлена в операционных системах Google Android начиная с версии 2.1 до версии 4.4, на устройствах с неисправленной ошибкой 13678484 (некоторые производители смартфонов и планшетных ПК устранили данную ошибку с помощью специального обновления (патча)).
Антивирус Dr.Web для Android распознает и успешно удаляет вредоносные программы, использующие данную уязвимость, еще при попытке их установки на атакуемое устройство, поэтому пользователи антивирусного ПО Dr.Web надежно защищены от подобных троянских программ.
Приложения для операционной системы Google Android имеют цифровую подпись. Эта подпись может быть связана с другой подписью – родительской (подпись издателя). При этом для формирования подписей используется так называемая архитектура открытых ключей (Public Key Infrastructure, PKI). В рамках инфраструктуры PKI действуют удостоверяющие центры, являющиеся издателями цифровых сертификатов, которые используют приложения. Если удостоверяющий центр считается доверенным для данной системы, все выпущенные им сертификаты (электронные документы, содержащие цифровой ключ) также считаются достоверными, а их владелец – достойным доверия.
В структуре безопасности Android цифровые подписи играют значительную роль: именно с их помощью система определяет допустимость обновления приложения, то, какие программы могут использовать данные совместно с этим приложением, какие функции API могут быть задействованы программой и т.д. При проверке подписи приложения используется открытый ключ автора подписи, для чего, в свою очередь, необходимо убедиться в корректности данного открытого ключа путем проверки соответствующего сертификата удостоверяющего центра. Таким образом возникает так называемая «цепочка сертификатов». Уязвимость Fake ID заключается в том, что при установке приложения система безопасности уязвимых версий Android не предпринимает никаких попыток выполнить проверку подлинности цепочки сертификатов. Таким образом злоумышленник может, например, создать поддельный сертификат от имени какого-либо доверенного удостоверяющего центра и подписать с использованием этого сертификата приложение, которое будет установлено в системе без дополнительных проверок.
Примером эксплуатации подобной уязвимости может служить приложение, которое злоумышленник подписал с использованием двух сертификатов: подлинного, выданного удостоверяющим центром Adobe Systems, и поддельного. При установке такого приложения установщик пакетов Android не выполняет проверку цепочки сертификатов, и создает для приложения подпись, использующую оба сертификата. Такое приложение может использоваться другими приложениями в качестве компонента WebView для воспроизведения интерактивных элементов Flash и имеет особые привилегии в системе. Воспользовавшись этим, злоумышленники получают возможность внедрить вредоносный код в другие приложения Android посредством плагина WebView.
Читайте также описания других уязвимостей
