Уязвимость в Android дает полный доступ к системе

Android-3G-Voice

 

Эксперты ресурса и одноименного стартапа Bluebox обнаружили глубокую уязвимость в общей модели безопасности операционной системы Android, которая дает возможность злоумышленнику произвольно изменять код установочного APK-файла любого мобильного приложения. Это позволяет внедрить вредоносную программу в любое из них, при этом сам код останется незаметным для пользователей, мобильного устройства и администраторов каталога приложений.

Данная уязвимость может применяться на 99 процентах всех когда-либо выпущенных мобильных устройств на платформе Android, начиная с версии 1.4. Дело в том, что каждое Android-приложение включает в себя криптографическую подпись, позволяющую операционной системе определить его подлинность. Но сама проверка может проводиться разными способами. В основе уязвимости лежит способ обойти проверку подлинности, изменить приложение, оставив криптографическую подпись нетронутой.

Уязвимость операционной системы позволяет не только вставить произвольный код в стороннее приложение, но и модифицировать программы, установленные производителем устройства для управления системными процессами. Таким образом, злоумышленник получает полный доступ к ОС Android, включая учетные записи, пароли и управление установленными приложениями.

По материалам CNews