Au fost descoperite primele aplicaţii infectate care folosesc exploit-ul Master Key

24.07.2013
Au fost descoperite primele aplicaţii infectate care folosesc exploit-ul Master Key

Prezent pe 99% dintre dispozitivele cu sistem Android, exploit-ul Master Key reprezintă o portiţă de intrare pentru viruşi ce nu avea cum să rămână nefolosită mult timp, după cum arată şi raportul întocmit de producătorul antivirus Symantec.

Pentru cei care nu sunt la curent cu întreaga poveste, exploit-ul Master Key este o vulnerabilitate critică descoperită în structura sistemului Android, prezentă la majoritatea dispozitivelor care îl utilizează. Aceasta permite atacatorilor să introducă componente malware în pachetele de instalare folosite de aplicaţii legitime, totul fără a invalida semnătura digitală folosită la validarea aplicaţiilor în timpul procesului de instalare.

Au fost descoperiţi primii viruşi care folosesc exploit-ul Master Key

Primele două astfel de aplicaţi, descoperite într-un magazin de aplicaţii neoficial originar din China, sunt folosite pentru a contacta doctori şi stabili consultaţii cu aceştia. Potrivit informaţiilor furnizate de Symantec, atacatorii au folosit exploit-ul Master key pentru a insera cod software maliţios în pachetul de instalare original, menit să faciliteze controlul de la distanţă asupra dispozitivelor infectate. Printre datele accesibile atacatorilor se numără codul IMEI de identificare şi numerele de telefon din agenda de contacte. Suplimentar, atacatorii pot obţine profit comandând apelarea unor numere cu suprataxă şi trimiterea de mesaje SMS către servicii premium. Prezenţa componentelor software infectate poate fi ascunsă utilizatorilor trimiţând comenzi cu drept de acces la nivel Root, care facilitează dezactivarea aplicaţiilor de securitate instalate pe dispozitiv.

În ciuda numelui pompos, vulnerabilitatea Master Key nu presupune compromiterea sistemului de criptografie folosit pentru securizarea platformei Android. În schimb, mecanismul presupune ascunderea a două fişiere cu acelaşi nume în interiorul pachetelor APK folosite pentru instalarea aplicaţiilor Android – în esenţă simple arhive ZIP, conţinând fişiere comprimate şi catalogate în funcţie de nume. Problema este că sistemul de verificare criptografică implementat pentru autentificarea aplicaţiilor Android examinează semnătura digitală a fişierelor din arhivă fără a ţine cont de situaţia în care apar mai multe fişiere cu nume identic. În acest caz, este verificată numai semnătura digitală a primului fişier catalogat, restul fişierelor cu nume identic fiind ignorate. Drept urmare, este posibilă alterarea acestor fişiere fără ca sistemul de verificare a aplicaţiilor Android să dea alarma.

Un alt exploit similar, care ar putea fi folosit şi de aplicaţiile menţionate de Symantec, presupune inserarea fişierului classes.dex în două versiuni diferite, dintre care una conţinând elemente software infectate. Problema este că metoda funcţionează numai dacă pachetul APK folosit pentru livrarea aplicaţiei infectate are o dimensiune anume – fapt ce limitează opţiunile atacatorilor.

Ţinând cont de lentoarea cu care producătorii de dispozitive preiau şi adaptează remediul oferit de Google pentru dispozitivele cu Android din portofoliu, este puţin probabil ca acestea să rămână singurele cazuri de folosire a exploit-ului Master Key pentru răspândirea de aplicaţii infectate.

Între timp, putem verifica dacă telefonul cu Android pe care îl deţinem este vulnerabil în faţa exploit-ului Master Key apelând la aplicaţii specializate, iar pentru viitor este recomandată evitarea aplicaţiilor cu provenienţă incertă, obţinute din afara magazinului Google Play.

Tags:
Aurelian Mihai
Aurelian Mihai
Aurelian Mihai este cel mai vechi redactor al site-ului Go4it.ro. Are 14 ani de experienţă în presa IT şi cunoștințe ample din sfera tehnologiei. Înainte de a ajunge la Go4it, Aurelian a fost redactor pentru revista XtremPC, acoperind rubrica de știri, desfășurarea de teste comparative și ... citește mai mult