Fake ID: опасная уязвимость в Android

В Android обнаружилась очередная серьёзная уязвимость, получившая название Fake ID. Вредоносные приложения имеют возможность выдавать себя за безопасные, используя сертификаты, выданные другим приложениям.

Приложения для Android обычно имеют криптографическую подпись, оформленную в виде сертификата PKI. Подпись определяет, каким компонентам можно обновлять приложение, какие программы могут иметь доступ к его даным и т. д. Сертификат PKI может использоваться для подтверждения других, "дочерних" сертификатов.

Выполнение некоторых действий с приложением может быть разрешено только тем компонентам, которые подписаны с использованием одного "материнского" сертификата. Например, приложения, имеющие подпись Adobe Systems, могут выступать в качестве плагина для просмотра веб-содержимого в других приложениях (в частности, в браузере). А приложения, имеющие ту же подпись, что и Google Wallet, получают доступ к NFC-модулю.

Проблема в том, что система установки приложений из APK-пакетов, реализованная в Android, не проверяет, действительно ли "дочерний" сертификат подписан тем же центром сертификации, что и "материнский". В результате становится возможным создание вредоносных приложений, подписанных подлинным "материнским" и поддельным "дочерним" сертификатом. Наличие подлинного "материнского" сертификата, например, от Adobe Systems даёт вредоносному компоненту право выступать в качестве плагина для просмотра веб-содержимого в других приложениях.

Уязвимость впервые появилась в релизе Android 2.1 от января 2010 года, а обнаружили её только в апреле 2014-го. Компания Google уже подготовила исправление для этой ошибки под номером 13678484 и сделала его доступным для производителей устройств, однако те выпускают свежие прошивки не слишком оперативно, поэтому множество Android-планшетов и смартфонов ещё остаются под угрозой. Особенно рискуют те устройства, на которые установлены расширения 3LM для удаленного управления. Такое программное обеспечение есть в смартфонах HTC, Pantech, Sharp, Sony Ericsson и Motorola.

Утешительно, впрочем, что реальных случаев использования уязвимости пока замечено не было. А в Android 4.4 не работает тот её аспект, который связан с подделкой сертификата Adobe System. Тем не менее, пользователям настоятельно рекомендуется устанавливать приложения только из магазина Google Play, чтобы избежать неприятностей.

Нынешнее открытие сделала компания Bluebox Security, специализирующаяся на информационной безопасности. В 2013 году она уже попадала в заголовки с новостью о другой крупной уязвимости в Android, которую с тех пор успели закрыть. Ещё тогда компания разработала приложение Bluebox Security Scanner, которое позволяет быстро убедиться, насколько защищён смартфон или планшет с Android от найденных угроз.