Аналитики компании Bluebox Labs сообщили об обнаружении в операционной системе Android опасной уязвимости, которую западная пресса уже успела окрестить «суперуязвимостью нового типа».
По словам специалистов, брешь в системе безопасности под названием «поддельное удостоверение» (Fake ID) позволит хакерам обмануть систему цифровых подписей приложений и выдать вредоносную программу за приложение официального поставщика, которому владелец гаджета уже разрешил доступ к системе.
По словам технического директора Bluebox Labs Джеффа Фористала, использование Fake ID можно сравнить с ситуацией, когда вор подходит к охране и показывает ей поддельный пропуск, а она, взглянув на пропуск, пускает его в здание.
В качестве примера Фористал рассказал, что поддельное приложение может «притвориться» плагином Flash, просто сообщив системе, что его производителем является компания Adobe. Android это утверждение не проверяет и наделяет приложение привилегиями, доступными официальным приложениям от Adobe. В результате злоумышленник может внедрить в систему вредоносный код.
Сообщение об уязвимости в Android было отправлено в Google еще три месяца назад, после чего специалисты компании выпустили обновление, в котором ошибка была исправлена. Однако миллионы пользователей до сих пор подвержены риску попадания на их смартфоны поддельных приложений, которых злоумышленники могут наделить любыми возможностями. Дело в том, что ошибка исправлена лишь в последней версии Android, в то время как более ранние версии, начиная от Android 2.1, по-прежнему содержат данную уязвимость.