Компания Bluebox Security неделю назад сообщила об уязвимости в модели безопасности операционной системы Android, которая позволяет злоумышленнику модифицировать содержимое файла APK, не меняя его криптографической подписи. О баге сообщили в Google еще в феврале (баг 8219321), но он до сих пор присутствует в последней версии ОС на большинстве мобильных устройств, начиная с Android 1.6.
Спустя несколько дней вышел эксплойт, который использует эту уязвимость и позволяет де-факто подменить содержимое любого файла APK в устройстве. Тот компилируется заново с вредоносным содержимым, без изменения подписи.
Чувствуя свою ответственность перед публикой, компания Bluebox Security выпустила бесплатный сканер, проверяющий Android-устройство на наличие этой уязвимости, а также проверяющий установленные файлы APK на предмет того, не пытается ли какой-то из них эксплуатировать эту уязвимость. Сканер не проверяет файлы в защищенной директории /mnt/asec/ и пропускает приложения, защищенные от чтения.
Сканер верно определяет, что в Samsung Galaxy S4 данная уязвимость уже закрыта. Некоторое время назад компания Google разослала всем производителям патч, но пока только Samsung успела его установить в последних моделях.
