Специалисты по безопасности из компании Bluebox Security сообщили об уязвимости в модели безопасности операционной системы Android, которая позволяет злоумышленнику модифицировать содержимое файла APK, не меняя его криптографической подписи.
Другими словами, в любое приложение можно добавить троян, сохранив криптографическую подпись оригинального автора приложения.
Скриншот HTC Phone после эксплойта
Специалисты не раскрывают подробностей уязвимости, но говорят, что сообщили о ней в Google еще в феврале (баг 8219321), но уязвимость до сих пор присутствует в последней версии ОС на большинстве мобильных устройств. Уязвимость существует уже четыре года, начиная с Android 1.6, то есть присутствует как минимум в 900 миллионах устройств.
Технические подробности об уязвимости будут раскрыты в выступлении на конференции Black Hat USA 2013, которая начнется 27 июля 2013 года.
