Новости проблем безопасности приложений андроид

На состоявшейся недавно 21 по счету конференции по безопасности «DEFCON» (крупнейшей в мире конференции хакеров) в Лас-Вегасе, исследователь безопасности Крейг Юнг вместе с компанией по разработке игр Tripwire продемонстрировали концептуальные доказательства уязвимости безопасности платформы Андроид при использовании метода аутентификации в один клик для веб-сайтов и приложений. Метод идентификации пользователя называется «weblogin» и работает путем создания уникального маркера, который используется для аутентификации пользователей непосредственно через их счета в Google+. В качестве доказательства гипотезы Юнга, он продемонстрировал, каким образом фальшивая точка доступа может украсть «weblogin» жетоны и перенаправить их на адрес злоумышленника. Как только он получает маркеры, злоумышленник может выдавать себя за жертву при использовании различных услуг, таких как Google Gmail, Google Apps, Drive, ежедневника и голосовых сервисов.

Кроме проблемы с качеством построения приложения, существует возможность скачивания «weblogin» маркера. Юнг отмечает, что в целом, основная часть проблемы заключается в том, что один маркер используется для большинства, если не для всех, услуг Google, т.к. он создан для облегчения доступа пользователя. Таким образом, для получения в свои руки частной информации, перед злоумышленниками открыто множество дверей. Кроме доступа к документам, электронной почте или записям ежедневника, злоумышленник может войти в аккаунт «Google Play» пользователя и удаленной установки приложений. В некоторых случаях, злоумышленник может даже сбросить пароли внутренней блокировки, созданной пользователем, находясь в своем собственном аккаунте.

Исследования Юнга изначально было представлено, Гуглу еще в феврале, и компания даже успела предпринять некоторые шаги, позволяющие блокировать ряд действий взломщика. Например, сервис «Google Takeout» больше не будет предоставлять данные автоматически, связывая их со всей учетной записью Google и при добавлении пользователей в «Google Apps» потребует использования дополнительных обходных путей.

Кроме того есть тревожные новости связанные с исследованиями Юнга относительно способности явно вредоносного приложения, получать доступ к магазину «Play Google» и доступ ко всему связанному с этим приложением. По имеющимся данным, Юнг создал приложение для проверки уязвимости и загрузил его в магазин Google Play, где оно было тут же отмечено как вредоносное и, при этом, пользователи не были предупреждены об этом при его установке. Приложение было доступно в течении месяца, пока один их пользователей не сообщил об этом, службе «Google Bouncer» и компания не отменила его как вредоносный. До сих пор не ясно, было ли это приложение когда-либо вообще сканировано программой «вышибала», или же оно прошло проверку, но и то и другое хорошо отражает эффективность работы «вышибалы». Юнг также сообщил, что большинству антивирусных продуктов для устройств Android не удалось обнаружить приложения как вредоносные, хотя одно приложение (которое не называется) запросило подтверждения конфиденциальности, пометив программу как не имеющую доступа к аккаунту.

Юнг и другие исследователи рекомендуют использовать ИТ- администраторы и не использовать свои аккаунты Гугл на устройствах Android, если приложения Google не проверяют домен администратора. Обычным пользователям рекомендуется обратить внимание на службы «запроса доступа к счетам» работающие на устройстве, особенно при отображение запросов на различного рода разрешения, которые включают "weblogin" или "ID" в описании. Гуглу также рекомендуется развиваться, чтобы дать пользователям более детальный контроль за использованием «weblogin» жетонов. А «weblogin» подсказки должны быть более информативными, так чтобы пользователи понимали, на что они соглашаются, говорится в докладе.