r   e   k   l   a   m   a
r   e   k   l   a   m   a

ReKey zabezpiecza wszystkie urządzenia z Androidem przed instalowaniem złośliwych aplikacji

Strona główna AktualnościOPROGRAMOWANIE

Gdy z początkiem lipca informowaliśmy o tkwiącej od lat w Androidzie luce, która pozwalała na modyfikowanie zawartości pliku APK bez naruszania jego cyfrowego podpisu, a w konsekwencji łatwe tworzenie trojanów i publikowanie ich w sklepach z aplikacjami, można było podejrzewać, że cała sprawa nie zakończy się szybko. Przede wszystkim nie wiadomo było, jak lukę naprawić – setki milionów urządzeń z Androidem nigdy nie zobaczą podczas swojego życia jakichkolwiek aktualizacji, do tej pory w supermarketach można kupić telefony z wersjami 2.x systemu, dla których producenci nigdy nie wydadzą żadnych łatek, mimo ich dostępności od Google'a.

Wygląda jednak na to, że pojawiło się alternatywne rozwiązanie problemu. Nie jest przy tym zasługą ani Google'a, ani producentów urządzeń z Androidem, lecz niewielkiego startupu Duo Security, który wraz z kilkoma doktorantami z Northeastern University w Bostonie przygotował narzędzie pozwalające załatać lukę w usłudze Dalvik Debug Monitor Service. Właśnie tę lukę wykorzystać można do „cichego” fałszowania zawartości plików APK, jak zademonstrował to niedawno Pau Oliva Fora z firmy Via Forensic.

Użytkownicy Androida mogą zabezpieczyć się teraz sami, pobierając aplikację ReKey, dostępną w sklepie Google Play oraz na stronie www.rekey.io. Jak wyjaśnia Jon Oberheide, dyrektor techniczny Duo Security, ReKey dynamicznie modyfikuje kod bajtowy Dalvika (maszyny wirtualnej, w której uruchamiane są aplikacje Androida), jednocześnie monitorując pamięć urządzenia pod kątem prób exploitowania podatności przez złośliwe oprogramowania.

Według Oberheida nie ma już innej możliwości łatania luk w mobilnym systemie Google'a, niż właśnie takie „zewnętrzne” łatki. Bezpieczeństwo Androida zostało zniweczone fragmentacją systemu i paraliżującą powolnością praktyk producentów i operatorów telekomunikacyjnych, od których zależy to, czy przygotowane poprawki trafią do końcowych użytkowników. Trudno oczekiwać od Google'a, by był w stanie uwzględnić wszelkie kombinacje sprzętu, oprogramowania i usług, jakie pojawiają się w ekosystemie Androida, z kolei telekomy potrafią jedynie dostarczać usługi telefonii i transmisji danych, nie znają się na bezpieczeństwie urządzeń mobilnych – twierdzi badacz.

Popularne media oczywiście straszą odkrytą przez Forristala luką przede wszystkim po to, by wzbudzić medialną sensację (co dziwne nie jest – taka przecież ich rola, tworzyć nie-wydarzenia, o których będzie się mówiło). W rzeczywistości zagrożenie jest czysto akademickie, by atak się powiódł, napastnik musiałby wpierw „uprowadzić” dobrą, popularną aplikację, zmodyfikować odpowiednio jej zawartość, a następnie rozprowadzić przez jeden z alternatywnych sklepów z aplikacjami dla Androida (Google Play skanuje dostarczone aplikacje pod kątem takich ataków) jako aktualizację. Następnie użytkownik musiałby pobrać z alternatywnego (pirackiego?) sklepu sfałszowaną aplikację na urządzenie z Androidem 4.1 lub wcześniejszym (mechanizm Verify Apps w Androidzie 4.2 uniemożliwia zainstalowanie tak sfałszowanego pliku APK – tu jedyną nadzieją napastnika jest to, że użytkownik wyłączy Verify Apps).

Jednak mimo niewielkiego zagrożenia, luka ta ujawnia problem fundamentalny dla Androida: skoro ani Google, ani producenci sprzętu, ani telekomy nie są w stanie zadbać o bezpieczeństwo użytkowników tego systemu, to kto powinien się za to wziąć? Odpowiedź już dawno temu znaleziono w branży PC: to właśnie firmy trzecie, a nie Microsoft, stoją tam na pierwszej linii walki z malware. Oberheid uważa, że tak samo musi stać się z google'owym systemem, prawdziwym „nowym Windows” naszych czasów.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.