Рассекреченный Android мастер-ключ делает уязвимыми 99% устройств

Специалисты по безопасности из компании Bluebox Security сообщили об уязвимости в модели безопасности операционной системы Android, которая позволяет злоумышленнику модифицировать содержимое файла APK, не меняя его криптографической подписи.

Другими словами, в любое приложение можно добавить троян, сохранив криптографическую подпись оригинального автора приложения.


Скриншот HTC Phone после эксплойта

Специалисты не раскрывают подробностей уязвимости, но говорят, что сообщили о ней в Google еще в феврале (баг 8219321), но уязвимость до сих пор присутствует в последней версии ОС на большинстве мобильных устройств. Уязвимость существует уже четыре года, начиная с Android 1.6, то есть присутствует как минимум в 900 миллионах устройств.

Технические подробности об уязвимости будут раскрыты в выступлении на конференции Black Hat USA 2013, которая начнется 27 июля 2013 года.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.
Похожие материалы