Luki w Androidzie umożliwiają potajemne instalowanie aplikacji

Specjaliści od bezpieczeństwa podali informacje o dwóch lukach w Androidzie i powiązanych z nim implementacjach producentów urządzeń. Wykorzystując te usterki, napastnicy są w stanie instalować aplikacje na urządzeniu bez wiedzy jego właściciela.

Zwykle podczas instalacji użytkownik jest przynajmniej proszony o przyznanie aplikacji określone prawa dostępu. Kiedy takie zabezpieczenie daje się obejść, na smartfonie można zainstalować aplikacje szpiegowskie albo nawet dialery.

Cechą szczególną obu luk jest to, że można je wykorzystać bez ataku na leżące u podstaw Androida jądro Linux, bo funkcjonują one jedynie w przestrzeni użytkownika. Specjalista od zabezpieczeń, znany pod pseudonimem Nils, podczas analizy urządzeń HTC odkrył, że przeglądarka internetowa dostarczana z systemem ma uprawnienia do instalacji kolejnych pakietów (INSTALL_PACKAGES). Według Nilsa HTC zintegrowało taką opcję po to, by przeglądarka mogła stale aktualizować wtyczkę Flash Lite. To może być jednak wykorzystane przez napastników, kiedy tylko znajdą inną usterkę w przeglądarce.

Istnienie takich błędów w przeglądarkach pod Androidem 2.1 firma MWR InfoSecurity – w której Nils przez przypadek zajmuje stanowisko szefa działu badawczego – zgłaszała już w połowie sierpnia. Oprócz tego specjalista od Androida Jon Oberheide zaprezentował lukę w opensource'owym systemie, w której menedżer kont został wykorzystany do wygenerowania tokenu uwierzytelniającego dla Android Marketu, uzyskując pozwolenie na instalację kolejnych programów. Jednak w tym celu na smartfonie musi się najpierw znaleźć inna spreparowana aplikacja. Nie jest to nic trudnego: Oberheide umieścił w internetowym sklepie Google'a pozornie niegroźną grę Angry Birds Bonus Level, która po instalacji ładowała i instalowała na telefonie trzy kolejne programy (Fake Toll Fraud, Fake Contact Stealer, Fake Location Tracker), nie pytając przy tym użytkownika o zgodę.

Jeśli chodzi o pierwsze wspomniane luki, to niedawno pojawił się exploit dla browsera w modelu Motorola Droid. Do zademonstrowania możliwego scenariusza ataku Nils użył modelu HTC Legend z Androidem 2.1.

Zagrożenie usterką w menedżerze kont też jest poważne, ponieważ przykładowa aplikacja Fake Tool Fraud ma między innymi uprawnienia do wysyłania drogich SMS-ów na numery premium.

Luka w przeglądarce została naprawiona w wersji 2.2 systemu, ale to wydanie zainstalowała dopiero jedna trzecia użytkowników.

Google zdążył już usunąć wszystkie aplikacje umieszczone w Android Markecie przez Oberheidego. Jeszcze w czerwcu za pomocą innej aplikacji programista demonstrował słabe punkty Androida. Wtedy producent po raz pierwszy skorzystał z funkcji zdalnego usuwania aplikacji na urządzeniach z tym systemem.

wydanie internetowe www.heise-online.pl