Odkryto nową dziurę w Androidzie, ale nie powinniśmy popadać w panikę

Do tematu zagrożenia urządzeń opartych o system Android podchodzę mocno sceptycznie. Oczywiście nie twierdzę, że malware nie istnieje, bo przecież były przypadki występowania złośliwego softu potwierdzone przez samo Google - faktycznie czasem się zdarzy, że twórcy wykradających dane aplikacji obejdą zabezpieczenia sklepu Google Play lub do sieci trafią spreparowane pliki .apk. Ale z drugiej strony wielokrotnie byłem świadkiem sytuacji, gdy przez sieć przetaczała się fala niesprawdzonych, ale sensacyjnych informacji o “zainfekowaniu milionów urządzeń”.

Dopiero kilka dni później, już po cichu i bez echa, doniesienia te były dementowane. Czy tak będzie i w tym przypadku? Pewności nie mam, dlatego uznałem, że nie warto czekać na nowe informacje w tej sprawie, a lepiej dmuchać na zimne i poinformować o tym potencjalnie zagrożonych użytkowników. Problem wygląda bowiem na poważny, a na szybką poprawkę od Google nie ma co liczyć i warto profilaktycznie pomyśleć o bezpieczeństwie urządzeń we własnym zakresie.

Jeff Forristal z firmy Bluebox Security zamieścił na firmowej stronie wpis opisujący lukę w zabezpieczeniach systemu Android. Okazuje się, że zdolny programista może zmodyfikować plik instalacyjny dowolnej aplikacji bez potrzeby uzyskiwania ponownego cyfrowego certyfikatu. Tym samym może zmienić każdą aplikację i dopisać do jej kodu trojana, który będzie nie do wykrycia przez sklep z aplikacjami, samo urządzenie oraz użytkownika. A wykryty błąd w zabezpieczeniach nie jest nowy, a chociaż zgłoszony został już w lutym tego roku, ale do tej pory aktualizacji nie dostała nawet linia Nexus, o urządzeniach z nakładkami nie wspominając. Co jest niepokojące to fakt, że podatne na tego typu atak są wszystkie urządzenia z Androidem 1.6 Donut i nowszym,

Generalnie podatne na atak są niemal wszystkie z 900 milionów smartfonów, tabletów i set-top boksów obecnych w domach i kieszeniach klientów na całym świecie. Możliwości takiego malware są różne w zależności od zaatakowanej aplikacji. Tutaj największe szkody może wyrządzić zarażona aplikacja systemowa, która posiada znacznie szersze uprawnienia niźli zwykły prosty program ze sklepu Google Play. W ten sposób trojan mógłby obejść zabezpieczenia i uzyskać dostęp do całego systemu - w celu np. wykonywania zdalnych połączeń głosowych bądź rejestracji obrazu z kamery. Może też czytać wszystkie zgromadzone w nim dane, w tym np. loginy i hasła.

Na obejście zabezpieczeń pozwalają niedoskonałości systemu zabezpieczeń Androida oraz procesu cyfrowego podpisywania plików instalacyjnych aplikacji. To zabezpieczenie w teorii ma umożliwić oprogramowaniu urządzenia sprawdzenie, czy plik .apk nie był wcześniej modyfikowany; okazuje się, że w praktyce można system oszukać. Dziurę tą powinni załatać producenci telefonów, ale trudno powiedzieć, czy właściciele starszych i mniej popularnych komórek kiedykolwiek zobaczą aktualizację.

Czytając opisy problemu zastanawiałem się jednak, w jaki sposób urządzenie może faktycznie zostać tym teoretycznym trojanem zainfekowane. W źródłowym wpisie całej procedury ataku nie opisano, więc zakładam, że podstawowym sposobem jest instalacja przez użytkownika na własną rękę plików .apk z niesprawdzonych źródeł. Czyli de facto tak jak każdego innego malware stworzonego do tej pory - z tą różnicą, że zainfekowana aplikacja będzie po prostu znacznie trudniejsza do wykrycia. Skąd więc to podniecenie akurat tą luką?

Z opisu problemu wynika, że nie należy obawiać się aktualizacji już zainstalowanych programów przez sklep Google Play, jeśli jesteśmy pewni, że dane konto faktycznie należy do danego dewelopera. Bardziej obrazowo: jeśli zainstalujemy aktualizację Facebooka przez sklep Google Play, to wedle dostępnych na dziś informacji, nie ma możliwości infekcji telefonu w sposób opisany w artykule. Nie widzę też tutaj możliwości, aby twórca złośliwego oprogramowania mógł dopisać trojana do pliku .apk już zainstalowanego na urządzeniu przez np. spreparowaną stronę internetową.

Informacje na temat tej luki będą udostępnione szerzej w ramach konferencji Black Hat USA 2013 talk. Wtedy odkrywca błędu ma dokładnie opisać działanie błędu oraz sposób, w jaki go wykrył. Ciekaw też jestem, czy podzieli się statystykami, ile aplikacji obecnych w sklepie Google Play zostało faktycznie zainfekowanych - jeśli naturalnie takie się znalazły. Na chwilę obecną zagrożenie w moich oczach nie wygląda na wcale znacznie groźniejsze, niźli do tej pory.

Dlaczego nieco bagatelizuję nowe zagrożenie? Z prostego powodu: nadal to użytkownik musi malware zainstalować. Nie sposób nazwać tych spreparowanych aplikacji wirusami, bo wirus to złośliwe oprogramowanie komputerowe, które może zainfekować urządzenia elektroniczne bez czynnego udziału użytkownika. Trzeba po prostu bardzo uważać, co instaluje się w swoim urządzeniu. Sklep Google Play oraz inne markety z aplikacjami od zewnętrznych dostawców są względnie bezpieczne.

Aby znacznie zwiększyć bezpieczeństwo swojego urządzenia należy zawsze sprawdzać, czy to faktycznie producent udostępnił swoją aplikację w sklepie Google - szukać znaczków “sprawdzony sprzedawca”, bądź przechodzić do podstrony aplikacji w sklepie prosto ze strony producenta. No i oczywiście nie należy instalować aplikacji wyglądającej podejrzanie, ani po żadnym pozorem plików .apk z niesprawdzonych źródeł.

Czy Android jest bardziej niebezpiecznym systemem niźli iOS albo Windows Phone, gdzie można aplikacje instalować tylko z oficjalnego repozytorium? Moja odpowiedź brzmi “tak”. Wynika to po prostu z jego specyfiki. I nie ma siły, trzeba wybrać.

Albo większa wolność w instalacji oprogramowania, albo większe bezpieczeństwo.

Zdjęcia "Robot with key" i "Robot with cardboard box" pochodzą z serwisu Shutterstock.