סוסים טרויאניים המנצלים פגמים ראשיים באנדרואיד שנמצאים בטבע

שני אפליקציות המופצות בשווקים סיניים מנצלות את הפגיעות של "מפתח המפתח" של אנדרואיד, כך מצאו חוקרי סימנטק.

הפגיעות של "מפתח הראשי", שהתפרסמה בתחילת החודש, מאפשרת לתוקפים לשנות אפליקציות קיימות על ידי הכנסת קובץ זדוני עם אותו שם בדיוק לזה הקיים בחבילת היישומים. כאשר אנדרואיד פותחת את קובץ החבילה, היא מאמתת את החתימה הדיגיטלית של הקובץ הראשון ואינה מאמתת את השנייה מכיוון שהיא חושבת שהיא כבר אימתה את הקובץ. הדאגה הגדולה ביותר הייתה שתוקפים יכולים לנצל את הפגם כדי ליצור אפליקציות זדוניות שעלולות להתחפש לאפליקציות לגיטימיות ולהשתלט מרחוק על מכשירי משתמשים.

סימנטק מצאה שתי אפליקציות שהופצו בשוק אפליקציות בסין שהשתמשו במנצל. האפליקציות משמשות לאיתור וקביעת פגישות עם רופא, על פי פוסט ביום רביעי בבלוג Symantec Security Response.

"אנו מצפים מהתוקפים שימשיכו למנף את הפגיעות הזו כדי להדביק מכשירי משתמשים בלתי מעורערים", נכתב בפוסט הבלוג.

מפתח האפליקציה ניצל את הפגיעות כדי להוסיף תוכנות זדוניות בשם Android.Skullkey. טרויאני זה גונב נתונים מטלפונים שנפרצו, עוקב אחר טקסטים שהתקבלו ונכתבו על המכשיר, וגם שולח הודעות SMS למספרי פרימיום. הטרויאני יכול גם להשבית יישומי תוכנת אבטחה לנייד המותקנים במכשירים אלה.

האם Google סריקה לאפליקציות האלה?

הדו"ח של סימנטק מגיע כמה ימים לאחר ש BitDefender מצא שני אפליקציות ב- Google Play שמשתמשות גם בשמות קבצים כפולים, אך לא בצורה זדונית. משחק עוגת חתונה של רוז ו- Pirates Island Mahjong מכילים שני קבצי תמונה כפולים (PNG) שהם חלק מממשק המשחק.

"היישומים אינם מריצים קוד זדוני - הם רק חושפים את באג אנדרואיד כדי להחליף קובץ תמונה בחבילה, ככל הנראה בטעות, " כתב בוגדן בוטזאטו, אנליסט בכיר באיום אלקטרוני ב- Bitdefender, בבלוג Hot for Security האחרון שבוע.

"אין סיבה של- APK יהיו שני קבצים עם שמות זהים באותו נתיב, " אמר בוטזאטו ל- SecurityWatch .

שתי האפליקציות עודכנו לאחרונה וזה "מעניין במיוחד" שהאפליקציות לא הניפו דגלים אדומים כשנסרקו על ידי גוגל פליי, אמר בוטזאטו. זכור, גוגל אמרה שהיא ביצעה שינויים ב- Google Play כדי לחסום אפליקציות המנצלות את הפגיעות הזו. כעת נראה כי השאלה היא בדיוק כשגוגל עדכנה את הסורק של השוק שלה, מכיוון שמשחק עוגת החתונה עודכן לאחרונה ביוני. או יכול להיות שגוגל זיהתה ששמות קובצי תמונה כפולים אינם זדוניים שכן אין קוד הפעלה ומאפשרים לאפליקציות לעבור.

הישאר מחוץ לשוק לא רשמי

כפי שיעצנו בעבר, הימנע מגוגל פליי ואל תוריד אפליקציות ממקורות צד ג 'כגון מקומות שוק, פורומים ואתרי אינטרנט לא רשמיים. הישאר עם "שוקי אפליקציות אנדרואיד מכובדים" שבהם אפליקציות מאומתות וסורקות לפני שהן מופיעות ברשימה.

גוגל כבר הוציאה תיקון ליצרנים, אך על ספקי החברה וספקיה באשר למועד העדכון יישלח לכל בעלי המכשירים.

אם אתה משתמש ב- CyanogenMod או בהפצות אנדרואיד אחרות שכבר תיקנו את הבאג, אתה מוגן מפני אפליקציות מסוג זה. אם תנסה להתקין אפליקציות ששונו בדרך זו, תראה את ההודעה "קובץ החבילה לא נחתם כראוי."