Android Installer Hijacking или новый способ осуществления атак на Android-устройства


Palo Alto NetworksОдин из инженеров из компании Palo Alto Networks обнаружил новый способ осуществления атак на Android-устройства, получивший название Android Installer Hijacking. Суть его в том, что можно превратить практически любое легитимное Android-приложение во вредоносное ПО, в дальнейшем предназначенное для похищения данных.

Инженер по имени Сю утверждает, что легитимные приложения, которые распространяются через Google Play, могут быть скомпрометированы при помощи стороннего ПО, установленного с прочих платформ наподобие Amazon Store. Эти программы в дальнейшем могут похищать любые данные с устройства.

Новый способ атаки киберпреступники могут использовать для подмены без ведома пользователя легитимных приложений. Инженер утверждает, что полученное таким образом вредоносное ПО может иметь полный доступ к скомпрометированному устройству, включая логины, пароли и прочую чувствительную информацию. Другими словами, технология позволяет подменить одно приложение другим. Например, вместо Angry Birds пользователь может получить в подарок вредоноса.

Google, Samsung, Amazon и прочие компании, встраивающие в Android-устройства собственные магазины приложений, уже приступили к работе над исправлением ошибки, которая позволяет осуществить данную атаку. Что касается пользователей, то для защиты своих мобильных устройств им следует обновить мобильную ОС хотя бы до версии 4.4 (KitKat).

Сама проблема существует из-за уязвимости времени проверки ко времени использования в компоненте PackageInstaller, который используется для установки приложений в Android. Данная уязвимость позволяет вредоносному ПО подменять легитимные программы во время их инсталляции.

В настоящее время данной уязвимости подвержены устройства под управлением Android 4.1 и более ранних версий. А, кроме того, те устройства, владельцы которых разблокировали права суперпользователя. Отмечено, некоторые девайсы с Android 4.3 также могут быть подвержены данной бреши.

На данный момент уязвимость не находится в широкой эксплуатации.


Обновлено (26.03.2015 19:05)