Ключ к Android

Старший аналитик антивирусной компании Bitdefender Богдан Ботезату обнаружил в Google Play две игры, использующие потенциально опасную уязвимость для Android, самой популярной операционной системы для смартфонов и планшетов. Первую игру - Rose Wedding Cake Game - установили до 10 000 пользователей, вторую - Pirates Island Mahjong - до 50 000.

Причин для паники пока нет, пишет Ботезату в блоге: игрушки не делают ничего опасного. Они содержат по два файла формата PNG (компьютерный формат изображения) с одинаковым названием, это часть интерфейса обеих игр. При установке система проверяет сертификат одного изображения, а устанавливает второе. Скорее всего, это происходит по ошибке, считает Ботезату, но точно так же можно установить взамен известной игры или программы вредоносное приложение.

Первым об обнаруженной уязвимости в Android написал в начале июля Джефф Форристэл, технический директор компании Bluebox Security. «Дыру» назвали Master Key («ключ от всех дверей»), с ее помощью можно запустить на устройстве под управлением Android вместо легального приложения, подписанного цифровым сертификатом известного разработчика, вредоносную программу безо всякого сертификата. Описать уязвимость подробнее Форристэл пообещал на хакерской конференции BlackHat 1 августа. Но, не дожидаясь этого, суть проблемы описали разработчики альтернативной Android-прошивки CyanogenMod. Действует Master Key на устройствах под управлением Android начиная с версии 1.6 (четырехлетней давности).

Google уже выпустила программу-заплатку для Master Key, знает представитель антивирусной компании «Доктор Веб» Кирилл Леонов, но этого мало: нужно, чтобы такие же заплатки для конкретных телефонов и планшетов выпустили и сами их производители. Между тем производители обычно не выпускают обновления для старых моделей, выпущенных несколько лет назад. Поэтому, если злоумышленники возьмут Master Key на вооружение, от них может пострадать значительная часть пользователей Android-фонов, предупреждает Леонов.