Názory k článku Postřehy z bezpečnosti: infikování podepsaných aplikací Androidu

Jde o to, ze lze modifikovat jakoukoliv aplikaci na google store a pridat k tomu nejaky kod (trojan), aniz by byl problem s validaci podpisu te aplikace.

Cest jak dostat trojanizovany apk balik k uzivateli muze byt nepreberne mnozstvi, to uz je prece to posledni :)

Pokud se Google rozhodne konkrétnímu uživateli podstrčit aplikaci, kam si přidá cosi navíc, tak to udělat může, aniž by k tomu potřebovali klíč autora. Z tohodle hlediska to vypadá že se nejedná o chybu, ale o vlastnost :-)

Nemusí se hned jednat o nějaký PRISM like boj s "terorismem", ale můžou tam dávat třeba nějaké marketngové šmírovače co po sobě zavčas uklidí a pod.

ak je mozne cez google play pri zapnutych datach nainstalovat na strateny/ukradnuty telefon v syteme neviditelnu trakovaniu appku, tak si na miliardy androidov moze google a spol instalovat co chce kolko chce a kedy chce

Než tento výkřik s minimální informační hodnotou je mnohem lepší Dočekalův článek na Lupě. Na Rootu bych čekal něco takového, ne tohle, co se hodí spíš do Blesku.

Snad nechces tvrdit, ze ked mam len cisty Android (tj. nikdy som nic neinstaloval z Play, pripadne som prave resetol telefon do tovarneho nastavenia, cim posli vsetky aplikacie do prec), kludne vo verzii 2.2, ze po "navstiveni stranky" mam zrazu "zmodifikovane regulerne binarky beziace pod pravami superuzivatela"??? Nic take netrdia ani na stranke Bluebox-u...

Podla toho co som sa docital, to zdaleka nevyzera na to, co si prave popisal. Pravdepodobne sa da spravit "len" to, ze niekto stiahne .apk z Google Play, upravi si ho a potom zavesi tento upraveny .apk niekam na web. A kto si ten .apk stiahne, moze ho nainstalovat do systemu, pretoze kontrola podpisu prejde. Ale ta aplikacia, ktoru si ten uzivatel takto nainstaluje, ma zase len prava, ktore zverenila vo svojom manifeste (resp. system ju zhodi, ak sa pokusi pouzit funkciu, ktoru v manifeste neohlasila).

Len tak mimochodom, odjakziva existuje jednoducha cesta, ako vyrobit podpisanu zaskodnicku aplikaciu. Android totiz iba skontroluje, ci je aplikacia podpisana a ci podpis sedi, ale zoberie hocijaky podpis. Utocnik si kludne moze vygenerovat svoj vlastny kluc (a ako subjekt si napisat povedzme Google Inc.), podpisat nim hocijaku aplikaciu (takze podpis je po technickej stranke pravy, system aplikaciu nainstaluje) a drviva vacsina uzivatelov ani nezisti, ze to podpisal niekto uplne iny (bezny uzivatel nema ako to zistit), takze dostat skodlivy kod do fonu instalaciou aplikacie mimo Play sa da jednoducho.

Akurat pri update aplikacie Android kontroluje, ci je kluc ten isty, ako v pripade uz nainstalovanej predchadzajucej verzie - a teraz pravdepodobne prisli na nejaku fintu, ako tuto kontrolu pri update obist (detaily zatial nezverejnili), takze sa da spravit update nejakej (uz nainstalovanej) "systemovej" aplikacie (ktora uz ma rozsiahle prava "od vyroby" a mozno aj root-a). Ale ten upraveny zaskodnicky .apk sa do fonu nedostane sam, uzivatel si ho musi stiahnut a spustit jeho instalaciu... takze sme zasa tam, kde v predoslom odstavci (instalacia aplikacii z pofidernych zdrojov skratka je rizikova).

Netreba z tohoto bugu robit bubaka. Je to zranitelnost Androidu, ale IMHO vobec nie kriticka ani akutna a nie je dovod na paniku, ktoru sa snazia vyvolat "spravodajske servery".

Až na jeden detail s tvým příspěvkem souhlasím:

Ale ta aplikacia, ktoru si ten uzivatel takto nainstaluje, ma zase len prava, ktore zverenila vo svojom manifeste (resp. system ju zhodi, ak sa pokusi pouzit funkciu, ktoru v manifeste neohlasila).

Problém je v aplikacích od výrobců hardware (například nějaký specifický software pro zálohování). Takový software často běží pod rootem a nějaký manifest jde zcela kolem něj. I takový software se ale dá aktualizovat na nějakou modifikovanou verzi a ejhle, máme tu malware bežící pod rootem na nerootnutém telefonu...

On ale i tento detail zmínil...

to je s prominutim do nebe volajici blabol!