Эксперты в области IT-безопасности из Bluebox Labs обнаружили в операционной системе Android серьезную уязвимость. Используя ее, злоумышленники могут получить доступ к пользовательским данным на мобильном устройстве, в том числе к финансовой информации в Google Wallet.
Компанию Google уведомили об уязвимости, однако закрывающий ее патч был выпущен лишь для актуальной версии ОС. Уязвимость была найдена во всех версиях Android начиная с 2.1 (Eclair). Владельцы устройств под управлением Android KitKat могут чувствовать себя в безопасности, а вот миллионы планшетов и смартфонов с более ранними версиями ОС находятся в группе риска.
В Bluebox Labs уязвимость назвали Fake ID. Она позволяет «обмануть» ОС, и в частности, алгоритм проверки цифровых подписей приложений, выдав вредоносное ПО за легальное от официального разработчика с последующим получением доступа к операционной системе. В данном случае речь идет о «родительских» и «дочерних» сертификатах.
Android не проверяет, как и кем выдается последний тип цифровой подписи, просто «доверяя» утверждению программы о том, что предоставленная «дочерняя» подпись связана с «родительской» и является настоящей. В итоге неизвестное ПО может выдать себя за программное обеспечение Adobe, например, и получить соответствующие привилегии для внедрения вредоносов в систему.
Если принимать во внимание статистику самой Google, получившая заплатку безопасности операционная система Android KitKat установлена лишь на 17,9% всех Android-устройств. Все остальные, согласно выводам Bluebox Labs, открыты для обнаруженной уязвимости.
