Video: Android Bug Puts 99 Percent of Devices at Risk (Oktober 2024)
To apper distribuert på kinesiske markedsplasser utnytter Androids sårbarhet for "hovednøkkel", fant Symantec-forskere.
Sikkerhetsproblemet "hovednøkkel", som ble offentliggjort tidligere denne måneden, lar angripere endre eksisterende apper ved å sette inn en ondsinnet fil med nøyaktig samme navn som en eksisterende i programpakken. Når Android åpner pakkefilen, validerer den den første filens digitale signatur og validerer ikke den andre fordi den tror den allerede har validert den filen. Den største bekymringen var at angripere kan utnytte feilen for å lage skadelige apper som kan maskereres som legitime apper og eksternt kan ta kontroll over brukerenheter.
Symantec fant to apper distribuert på en appmarked i Kina som brukte utnyttelsen. Appene brukes til å finne og avtale med lege, ifølge et onsdagspost på Symantec Security Response-bloggen.
"Vi forventer at angripere fortsetter å utnytte dette sikkerhetsproblemet for å infisere intetanende brukerenheter, " heter det i blogginnlegget.
Apputvikleren utnyttet sårbarheten for å legge til skadelig programvare kalt Android.Skullkey. Denne trojaneren stjeler data fra kompromitterte telefoner, overvåker tekster som er mottatt og skrevet på håndsettet, og sender også SMS-meldinger til premiumnumre. Trojan kan også deaktivere applikasjoner for sikkerhetssikkerhet som er installert på disse enhetene.
Skanner Google etter disse appene?
Symantecs rapport kommer noen dager etter at BitDefender fant to apper på Google Play som også brukte dupliserte filnavn, men ikke på en ondsinnet måte. Rose Wedding Cake Game og Pirates Island Mahjong inneholder to dupliserte bildefiler (PNG) som er en del av spillets grensesnitt.
"Applikasjonene kjører ikke ondsinnet kode - de blottlegger bare Android-feilen for å overskrive en bildefil i pakken, mest sannsynlig ved en feiltakelse, " skrev Bogdan Botezatu, senior e-trusselanalytiker i Bitdefender, på bloggen Hot for Security sist uke.
"Det er ingen grunn for en APK til å ha to filer med identiske navn på samme bane, " sa Botezatu til SecurityWatch .
Begge appene har blitt oppdatert nylig, og det er "spesielt interessant" at appene ikke løftet noen røde flagg når de ble skannet av Google Play, sa Botezatu. Husk at Google hadde sagt at det hadde gjort endringer i Google Play for å blokkere apper som utnytter dette sikkerhetsproblemet. Nå ser spørsmålet ut til å være akkurat da Google oppdaterte markedsplassens skanner, siden bryllupskakespillet sist ble oppdatert i juni. Eller det kan bare være at Google anerkjente at dupliserte bildefilnavn ikke er skadelige, da det ikke er noen kjørbar kode og slipper appene gjennom.
Hold deg utenfor uoffisielle markedsplasser
Som vi har informert tidligere, hold deg med Google Play og ikke last ned apper fra tredjepartskilder som uoffisielle markedsplasser, fora og nettsteder. Hold deg til "anerkjente markedsplasser for Android-applikasjoner" der apper blir bekreftet og skannet før de er oppført.
Google har allerede gitt ut en oppdatering til produsentene, men det er opp til leverandørene og transportørene når oppdateringen vil bli sendt til alle håndsettseiere.
Hvis du bruker CyanogenMod eller andre Android-distribusjoner som allerede har oppdatert feilen, er du beskyttet mot disse appene. Hvis du prøver å installere apper som er endret på denne måten, vil du se meldingen "Pakkefilen ble ikke signert riktig."
