Obchod Play patrně zcela nechrání před zneužitím skrze „Master Key“

masterkey

Bezpečnostní nedostatek v ověřování podpisu aplikace, známý jako díra „Master Key“, spatřil světlo světa před dvěma týdny a týká se prakticky všech chytrých telefonů a tabletů s Androidem. Pointa a nebezpečí tkví v tom, že lze do instalačního balíčku „vsunout“ další kód, aniž by se změnil jeho podpis.

Aplikace pro Android jsou distribuovány jako soubory s příponou APK a ve své podstatě jde ale víceméně o archivy ve formátu ZIP. Bezpečnostní experti z Bluebox Security zjistili, že do instalačního balíčku bylo možné zabalit soubory se stejným názvem, ale jiným (například škodlivým) obsahem, aniž by systémový instalační proces detekoval změnu obsahu balíčku. Zatímco proces ověření podpisu kontroluje pouze první verzi zabaleného souboru, při rozbalení je extrahována verze poslední.

Google reagoval poměrně pohotově a záhy oznámil, že aplikace v jeho oficiálním repozitáři Obchod Play jsou skenovány mimo jiné i na to, zda nehodlají zneužít uvedenou zranitelnost. Kontrolována je také později oznámená bezpečnostní díru, o které informoval čínský blog. Kontrola ale zjevně není stoprocentní, neboť antivirová firma BitDefender odhalila v Obchodě Play několik aplikací, představujících potenciální ohrožení právě skrze díru „Master Key“. Musíme ale dodat, že zjištěné aplikace jsou neškodné a zneužití této chyby zabezpečení je pravděpodobně dílem náhody.

Bezpečnostní expert BitDefenderu vysvětluje na svém blogu: „Dvě z těchto aplikací, konkrétně Rose Wedding Cake Game (air.RoseWeddingCakeGame v 1.1.0) a Pirates Island Mahjong Free (air.PiratesIslandMahjong v 1.0.1) byly naposledy aktualizovány v polovině května a mezi uživateli jsou poměrně oblíbené. Zatímco Pirates Island Mahjong Free si nainstalovalo přes pět tisíc uživatelů, Rose Wedding Cake Game má více než 10 000 instalací. Není ale důvod k panice – aplikace obsahují dva duplicitní soubory PNG, které jsou součástí herního prostředí. To znamená, že nedochází ke spouštění žádného škodlivého kódu, pouze při instalaci přepisuje jeden soubor druhým, což je pravděpodobně lidská chyba. Škodlivé využití trhliny „Master Key“ by spočívalo v záměně aplikačního kódu.

Jedna věc je ale na dnešním objevu obzvláště zajímavá – skutečnost, že se dvěma aplikacím, vykazujícím toto chování, podařilo dostat do oficiálního repozitáře. Systém s nainstalovanou záplatou, jako je například CyanogenMod, ale instalaci aplikace zamítne s tím, že není správně podepsána.“

Otázkou tedy je, nakolik efektivní je skenování aplikací v Obchodě Play. V tomto případě se sice jedná o zdánlivou banalitu, nicméně pokud se místo duplicitního obrázku objeví v balíčku soubor se škodlivým kódem, bude situace podstatně vážnější.

Nemáte záplatu na díru „Master Key“? Stáhněte si neoficiální!

Zdroj: The Register.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (6)