Известный специалист по безопасности Android-приложений Джон Оберхайд (Jon Oberheide) из Duo Security два года назад взломал Android Market и показал, как распространять вредоносный код через обновления к приложениям. После появления в Google Play антивирусной защиты и эмулятора для тестирования новых приложений Android Bouncer он проанализировал эти инструменты и показал, как их можно обойти. Теперь коллеги Оберхайда из университетов Ганновера и Марбурга (Германия) опубликовали новое исследование, где продолжают раскрывать тему любви вредоносного софта к платформе Android. Отчёт под названием "Why Eve and Mallory Love Android: An Analysis of Android (In)Security" посвящён поиску примеров некорректной реализации SSL/TLS в Android-приложениях.
Авторы демонстрируют, что в каталоге Google Play можно найти тысячи приложений с серьёзными ошибками в реализации SSL/TLS, что делает их уязвимыми перед атаками типа MiTM и предоставляет злоумышленникам доступ к приватной информации пользователей. Одна из типичных ошибок — функция отключения проверки SSL-сертификата, которую оставили в коде приложения после отладки. Бывает, что приложение принимает произвольный SSL-сертификат или с произвольного хоста.
Исследователи написали proof-of-concept расширение MalloDroid для программы Androguard, которая осуществляет обратный инжиниринг Android-приложений. MalloDroid ищет приложения с поддержкой HTTPS и автоматически сканирует их на предмет потенциально уязвимого кода SSL/TLS. Они осуществили анализ 13500 популярных бесплатных приложений в Google Play — и MalloDroid выдал предупреждения для 1074 из них, то есть 8%.
Немецкие специалисты эмулировали MiTM-атаку через WiFi-точку с SSL-прокси. В зависимости от типа тестируемой уязвимости, на прокси ставили либо самоподписанный сертификат, либо сертификат от доверенного центра сертификации, но для другого хоста. Они вручную проверили 100 случайных программ из выборки MalloDroid — результат превзошёл всяческие ожидания. Удалось получить учётные данные и номера кредитных карточек American Express, Diners Club, Paypal, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, IBM Sametime, различных удалённых серверов, номера банковских счетов, пароли к почтовым ящикам, облачным хостингам и многое другое. В целом, уязвимо оказались 41 приложение из 100.
Например, в одной из антивирусных программ исследователи смогли подделать автоматическое обновление антивируса с внедрение сигнатуры фальшивого вируса, после чего смогли нейтрализовать антивирусную защиту и получили возможность удалить произвольное приложение с устройства, включая сам антивирус. Авторы исследования говорят, что таким образом на устройство можно легко внедрить вредоносный код, а ведь у этого антивируса более 500 тыс. пользователей!
На иллюстрации — после внедрения поддельной сигнатуры в пакет обновления через некорректную реализацию SSL антивирус Zone AntiVirus Free распознаёт угрозу в себе и рекомендует удалить себя с устройства.
По словам экспертов, проблема в том, что разработчики Android-приложений, как и веб-разработчики, зачастую испытывают проблемы с грамотным внедрением SSL. Хотя встроенный браузер выдаёт предупреждения в случае неправильных сертификатов, но опасность всё равно существует. Авторы исследования рекомендуют интегрировать MalloDroid прямо в пакеты инсталляции Android-приложений.
