Kineski aktivisti iz grupe Android Security Squad otkili su još jedan propust baziran na master ključu unutar Android operativnog sustava koji omogućuje modificiranje Android aplikacija, bez razbijanja zaštite kriptografskim potpisom.
Riječ je o sličnom propustu kakav je i Bug 8219321 o kojem smo već pisali. U novoj verziji napada maliciozni kod se dodaje u zaglavlje datoteka, no takav kod ima ograničenje u veličini - ne smije biti veći od 64 kb. Maliciozni kod dodaje se APK datotekama na način da se one zapakiraju zajedno u jednu arhivu pomoću ZIP kompresije pa tako nastaju originalna classes.dex te istoimena štetna modificirana datoteka.
Android sustav pri provjeri kriptografskog potpisa pronalazi prvu datoteku koja odgovara traženom imenu, ali u fazi pokretanja programa uzima zadnji program. Dakle, u ovom slučaju provjerava potpis originalne datoteke dok izvodi umetnutu malicioznu datoteku. Kao mjera zaštite protiv propusta preporučuje se instaliranje aplikacije samo iz službene trgovine aplikacija Google Play te uključivanje opcije zabrane instaliranja aplikacija nepoznatog podrijetla.
bug.hr
