С прошлой недели Google готовит несколько патчей для платформы Андроид. Они
должны исправить одну из двух недавно обнаруженных ошибок, дающих возможность
злоумышленнику
устанавливать приложения на телефон без явного подтверждения от пользователя
.

На прошлой неделе исследователи на конференции Black Hat в Абу-Даби и
докладчики на ежегодной конференции по внутренней безопасности Intel,
проходившей в Орегоне, независимо друг от друга продемонстрировали две различных
уязвимости Android, каждая из которых дает возможность злоумышленнику установить
вредоносное приложение на смартфон в обход запрета пользователя.

На конференции Intel Джо Обрхейде, технический директор Scio Security, вместе
с Заком Леньером, старшим консультантом Interpidus Group, продемонстрировали,
как с помощью уязвимости небольшой аддон к игре устанавливает 3 других
приложения на телефон. "Для доказательства мы воспользовались бесплатным
приложением в Android Market, выглядящим как новые уровни к игре Angry Birds", —
говорит Оберхейде. "И затем оно, в фоновом режиме, устанавливает три поддельных
утилиты: для кражи денег, кражи контактов и трекер местоположения".

Именно уязвимость, найденную Оберхейде и Леньером, и чинит Google. Приложение
исследователей было убрано из маркета ещё на прошлой неделе. "Мы уже начали
разработку заплатки, которая будет поддерживаться всеми телефонами Anrdoid. Как
всегда мы советуем пользователям устанавливать только те приложения, в которых
они уверенны", — прокомментировал уязвимость представитель Google.

В то же время, уязвимость, показанная на Black Hat ведущим исследователем MWR
Infosecurity Нилсом, на самом деле актуальна только для HTC телефонов с Android.
Ошибка появилась из-за настроек HTC. Нилс говорит, что уже пытался связаться с
ними на этот счет, но пока безуспешно.

Стратегия взлома Нилса с помощью браузерного эксплоита сработала на HTC
Legend под управлением Android 2.1. Суть её в том, что компоненты браузера
обновляются не предупреждая пользователя.

Ядро Linux не является причиной обеих уязвимостей — это проблемы
пользовательского интерфейса.

"В нашем случае", — говорит Оберхейде, "в статусной строке пользователь
увидит уведомление об установке. Он предупрежден о том, что что-то
устанавливается. Это не слишком хорошо с точки зрения злоумышленника, как может
показаться на первый взгляд. Но на самом деле… если пользователь нажмет на это
уведомление, установленное приложение сразу запустится".

Для безопасности платформы Android этот год был тяжелым. Исследователи просто
накинулись на новую популярную открытую платформу, и недавнее исследование
показало, что в ядре Google Android более 350 программных ошибок, четверть из
которых могут быть причиной серьезных брешей в безопасности и случайных
перезагрузок телефона.

Основная проблема та же, что и на десктопах, считает Квин Маххевей,
технический директор Lookout Security, занимающийся безопасностью в мобильных
телефонах. "Все ведет обратно в мир PC. Уязвимости могут привноситься на любом
этапе разработки", — рассказывает Маххевей. Шансы, что виновником системных
ошибок в Android будет кто-то, кроме Google, намного выше, чем у RIM Blackberry
или Apple iPhone, поскольку они находятся под контролем производителя.

Патчить смартфоны сложнее, чем кажется, говорит он. "В случае проблем
разработчику нужно довести патчи до приемлемого уровня. Особенно когда ОС и
устройство разрабатывают разные компании", — говорит Маххевей. "Так в целом
процесс идет дольше, чем на PC".

В то же время, по словам Оберхейде, их с Леньером проверка работает за счет
включения механизма установки от Google. "Вы видите совершенно обычное
приглашение к установке, точно такое же, как и при установке из Google Market",
показывает он.

На его взгляд Google Market недостаточно тщательно проверяет приложения. До
сих пор большинство попыток взлома смартфонов были довольно просты. "Были всякие
несложные мошенничества, например с СМС, или приложениями", — говорит Оберхейде.
Но даже мошенничества с приложениями больше были нацелены на какой-то денежный
заработок, а не на кражу информации. Например, телефонное приложение New York
Times ценой в 99 центов всего лишь показывает веб-сайт Times.



Оставить мнение