Уязвимость, которую исследователи планировали использовать для взлома
мобильных телефонов Android на хакерском соревновании на этой неделе, была
закрыта после того, как компания Google устранила соответствующий баг в Android
Market.
Технический директор Duo Security Джон Оберхейд уведомил Google об XSS в
магазине приложений поскольку он не думал, что данная уязвимость будет
соответствовать правилам
хакерского соревнования Pwn2Own, начало которого назначено на среду.
"Невероятно простая постоянная XSS" позволяла злоумышленникам удаленно
устанавливать вредоносные приложения на телефоны с Android путем заманивания
пользователей на ссылку во время нахождения в аккаунте Google.
Оберхейд позже узнал, что уязвимость не противоречит правилам соревнования, и
могла позволить ему получить $15 000 и мобильный телефон, если бы он выступил
успешно. Но недавно он обнаружил, что компания Google залатала пробел в
безопасности. Награда в
размере $1337, присвоенная Оберхейду за участие в программе по обнаружению
уязвимостей, является небольшим утешением, написал он в записи
блоге, опубликованной в понедельник.
"В то время как я потерял хорошую сумму денег, утратив возможность выиграть
соревнование Pwn2Own, Google выплатила награду в размере $1337 за сообщение об
уязвимости", - отметил он. "Я больше разочарован тем, что не смогу выиграть
Pwn2Own при помощи простой XSS-уязвимости, что было бы очень весело, поскольку
Pwn2Own обычно показывает наиболее увлекательные и техничные эксплойты года".
Вдобавок к своему разочарованию Оберхейд отметил решение Google не вносить
изменения в функцию, которая позволяет пользователям устанавливать новые
приложения прямо на свои мобильные телефоны во время просмотра Android Market в
компьютерных браузерах. Функция не предполагает уведомления конечного устройства
с предупреждением о том, что за программа устанавливается и с запросом на
разрешение исполнения. В результате чего подобные удаленные уязвимости будут
обрушиваться на мобильную ОС каждый раз, когда подобного рода XSS уязвимости
будут обнаруживаться в магазине мобильных приложений.
"Вместо игр в закрытие XSS уязвимостей им необходимо решить проблему в корне.
При наличии каких-либо автоматических установок, на телефон должно быть, по
крайней мере, прислано простое подтверждение и запрос на осуществление
установки", - сообщил Оберхейд.
Оберхейд отметил, что он проверял Market на наличие других XSS багов в
течение последней недели и пока не обнаружил ничего подходящего. Хотя XSS
уязвимости настолько распространены, что не будет удивительно, если обнаружатся
новые.
Представитель Google написал в email: "Уведомления об установке появляются на
устройстве в качестве оповещения пользователей, когда браузерная версия Android
Market используется для установки приложений. Так что все не так уж и скрыто.
Также не очевидно то, что другие XSS баги будут обнаружены в этом определенном
механизме и вызовут подобного рода проблемы".
В ответ Оберхейд заметил, что пользователи увидят уведомление лишь после
того, как вредоносное приложение уже будет установлено, и только если посмотрят
в телефон сразу после установки.
"Тем не менее, учитывая, что мы запускаем установку и осуществляем выполнение
нашего приложения сразу после клика по нашей вредоносной ссылке, легко получить
root на устройстве и немедленно удалить всякие предупреждения, которые
появились", - добавил он.
Представитель Google отказался от разъяснений.
Доклад Оберхейда вышел спустя неделю после того, как компания
Google удалила более 50
приложений из Android Market в связи с тем, что сторонние исследователи
определили их как вредоносные. В конце концов Google положила конец крадущим
информацию с телефонов Android троянам при помощи функции удаленного удаления
программ, встроенной в мобильную платформу, но это очевидно мало для
предотвращения подобных атак, поскольку Google не осуществляет просмотра
приложений, предложенных сторонними исследователями.
