Fake ID bag – nova opasnost za Android uređaje

BlueBox Labs kompanija je otkrila je veliku opasnost za Android uređaje – Fake ID bag. Ovaj propust u sigurnosti omogućava malveru da ubaci zlonamerni kod u ostale instalirane aplikacije, pristupi podacima korisnika poput brojeva kreditnih kartica i preuzme kontrolu nad podešavanjima uređaja.

Android-Fake-ID_bbc.com

Posebno je opasno to što vlasnici telefona i tableta ne treba da daju posebne dozvole da bi malver delovao.

Kompanija je obavestila Google o ovom problemu kako bi mogli da unaprede svoj operativni sistem i spreče dalje širenje malvera. Google je potvrdio da je bag popravljen. Navode da su vrlo brzo napravili zakrpu koju su distribuirali svim Android partnerima.

Međutim, postoji nekoliko hiljada uređaja koji radi na verzijama 2.1-4.3 Android OS-a, a kojima mrežni operateri i proizvođači nisu prosledili sigurnosne zakrpe. Ti uređaji su i dalje u opasnosti ukoliko preuzimaju aplikacije izvan Google Play prodavnice.

Bluebox je bag nazvao Fake ID (lažni ID), jer koristi način na koji Android obrađuje digitalne identifikacije (eng. ID) – poznatije kao sertifikacioni potpisi. Oni služe da provere da li su određene aplikacije zapravo te aplikacije ili neki skriveni zlonamerni program.

Problem je u tome što, dok Android proverava da aplikacija ima pravi ID, ne proveri da li je uključeni sertifikacioni potpis pravilno izdat ili falsifikovan.
Android ne verifikuje tvrdnje da je jedan identitet povezan sa drugim i to dovodi do još većeg problema – jedna aplikacija može nositi nekoliko lažnih identiteta odjednom, što omogućava izvršenje više napada.

Fake ID je opasan jer nije sumnjiv, ne traži nikakve posebne dozvole, što većina korisnika gleda kao relativno bezbedno. Android aplikacije inače traže pristup pojedinim podacima na uređaju kako bi bilo moguće instalirati ih.

Portparolka Google-a je potvrdila da je kompanija skenirala sve aplikacije u svojoj prodavnici, a BlueBox je predstavio sopstvenu Android aplikaciju koja proverava da li je uređaj bezbedan.

Dok problem ne bude u potpunosti rešen, korisnicima se preporučuje da instaliraju aplikacije isključivo sa Google Play-a.

Izvor: bbc.com


"Citate zvanicni blog Data Solutions Laboratorije za spasavanje podataka sa hard diskova, memorijskih kartica i RAID nizova" - datasolutions.rs

Jedno misljenje o “Fake ID bag – nova opasnost za Android uređaje

Leave a Reply

%d bloggers like this: