Эксперт 360: Найдены новые уязвимости цифровой подписи на Android

26 Авг. 2014 г.360TS

30 июля была выявлена новая весьма опасная уязвимость цифровой подписи на Android. По мнению эксперта по безопасности мобильных устройств из компании 360, это еще одна уязвимость, обнаруженная с июля 2013 г., из-за которой фальшивые цифровые подписи могут приниматься за подлинные. Под угрозой оказываются некоторые пользователи версии Android 4.4 и всех версий ниже 4.4, что составляет более 90% клиентов операционной системы Android. Иностранная компания по обеспечению безопасности Bluebox Security указала в своем отчете, что причиной возникновения проблемы является процесс идентификации цифровой подписи в системе Android. Установление подлинности является наиболее важной задачей в современном интернет-сообществе, например, установление, является ли пользователь логина банковского счета настоящим владельцем этого счета. Каждый пользователь системы Android имеет собственную цифровую подпись, которая является его идентификационной карточкой. Например, если одно приложение APP сотового телефона имеет подпись владельца в Android, все приложения от разработчика APP базируются на этом подписанном идентификаторе (ID). Однако компания Bluebox обнаружила, что когда одно приложение продемонстрировало ID своей компании, система Android не смогла установить аутентичность пользователя. Иными словами, сетевые злоумышленники могут суметь зарегистрироваться в системе с фальшивым ID для разработки вредоносного программного обеспечения, чтобы прорваться через защиту «sand box» (песочницу) или получить доступ к полномочиям системы более высокого уровня. Эксперт по безопасности мобильных устройств компании 360 заявил: «Одной из угроз, исходящих от этой уязвимости, является возможность потери конфиденциальных данных и злоумышленного постороннего контроля при использовании приложения Webview. Другая угроза состоит в том, что злоумышленник может скрытно получить возможность управления NFC, что может быть опасным для пользователей платежного APP, такого как Google Wallet. Хотя эта проблема также связана с подписью, угроза от этой уязвимости сравнительно меньше, чем от уязвимости цифровой подписи в системе Android. Поскольку атака начинается только при установке плохого APK, эксперты компании 360 напомнили пользователям о необходимости загружать APP с помощью чего-нибудь подобного Google Play, что является относительно безопасным.