ReKey zabezpiecza wszystkie urządzenia z Androidem przed instalowaniem złośliwych aplikacji

ReKey zabezpiecza wszystkie urządzenia z Androidem przed instalowaniem złośliwych aplikacji

17.07.2013 15:52

Gdy z początkiem lipca informowaliśmy o tkwiącej od lat w Androidzie luce, która pozwalała na modyfikowaniezawartości pliku APK bez naruszania jego cyfrowego podpisu, a wkonsekwencji łatwe tworzenie trojanów i publikowanie ich w sklepach zaplikacjami, można było podejrzewać, że cała sprawa nie zakończy sięszybko. Przede wszystkim nie wiadomo było, jak lukę naprawić –setki milionów urządzeń z Androidem nigdy nie zobaczą podczas swojegożycia jakichkolwiek aktualizacji, do tej pory w supermarketach możnakupić telefony z wersjami 2.x systemu, dla których producenci nigdynie wydadzą żadnych łatek, mimo ich dostępności od Google'a.Wygląda jednak na to, że pojawiło się alternatywne rozwiązanieproblemu. Nie jest przy tym zasługą ani Google'a, ani producentówurządzeń z Androidem, lecz niewielkiego startupu Duo Security, którywraz z kilkoma doktorantami z Northeastern University w Bostonieprzygotował narzędzie pozwalające załatać lukę w usłudze Dalvik DebugMonitor Service. Właśnie tę lukę wykorzystać można do „cichego”fałszowania zawartości plików APK, jak zademonstrowałto niedawno Pau Oliva Fora z firmy Via Forensic. Użytkownicy Androida mogą zabezpieczyć się teraz sami, pobierającaplikację ReKey, dostępną w sklepie Google Play oraz na stroniewww.rekey.io. Jak wyjaśnia JonOberheide, dyrektor techniczny Duo Security, ReKey dynamiczniemodyfikuje kod bajtowy Dalvika (maszyny wirtualnej, w którejuruchamiane są aplikacje Androida), jednocześnie monitorując pamięćurządzenia pod kątem prób exploitowania podatności przez złośliweoprogramowania.[img=androidmalware-opener]Według Oberheida nie ma już innej możliwości łatania luk wmobilnym systemie Google'a, niż właśnie takie „zewnętrzne”łatki. Bezpieczeństwo Androida zostało zniweczone fragmentacjąsystemu i paraliżującą powolnością praktyk producentów i operatorówtelekomunikacyjnych, od których zależy to, czy przygotowane poprawkitrafią do końcowych użytkowników. Trudno oczekiwać od Google'a, bybył w stanie uwzględnić wszelkie kombinacje sprzętu, oprogramowania iusług, jakie pojawiają się w ekosystemie Androida, z kolei telekomypotrafią jedynie dostarczać usługi telefonii i transmisji danych, nieznają się na bezpieczeństwie urządzeń mobilnych – twierdzibadacz.Popularne media oczywiście straszą odkrytą przez Forristala lukąprzede wszystkim po to, by wzbudzić medialną sensację (co dziwne niejest – taka przecież ich rola, tworzyć nie-wydarzenia, októrych będzie się mówiło). W rzeczywistości zagrożenie jest czystoakademickie, by atak się powiódł, napastnik musiałby wpierw„uprowadzić” dobrą, popularną aplikację, zmodyfikowaćodpowiednio jej zawartość, a następnie rozprowadzić przez jeden zalternatywnych sklepów z aplikacjami dla Androida (Google Playskanuje dostarczone aplikacje pod kątem takich ataków) jakoaktualizację. Następnie użytkownik musiałby pobrać z alternatywnego(pirackiego?) sklepu sfałszowaną aplikację na urządzenie z Androidem4.1 lub wcześniejszym (mechanizm Verify Apps w Androidzie 4.2uniemożliwia zainstalowanie tak sfałszowanego pliku APK – tujedyną nadzieją napastnika jest to, że użytkownik wyłączy VerifyApps). Jednak mimo niewielkiego zagrożenia, luka ta ujawnia problemfundamentalny dla Androida: skoro ani Google, ani producenci sprzętu,ani telekomy nie są w stanie zadbać o bezpieczeństwo użytkownikówtego systemu, to kto powinien się za to wziąć? Odpowiedź już dawnotemu znaleziono w branży PC: to właśnie firmy trzecie, a nieMicrosoft, stoją tam na pierwszej linii walki z malware. Oberheiduważa, że tak samo musi stać się z google'owym systemem, prawdziwym„nowym Windows” naszych czasów.

Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (14)