29 июля компания Bluebox Security, уже находившая уязвимости в Android, опубликовала данные о новой «дыре» в безопасности, названной Fake ID. Не прошло и суток, а Google уже объявила о закрытии ее через Play Services и отправке патчей как в AOSP, так и производителям.

Так работает Fake ID

Суть Fake ID в том, что система принимает поддельный идентификатор системы безопасности за настоящий. Это дает возможность «вредоносу» притвориться одним из приложений с суперправами, что позволяет выйти за пределы своей «песочницы». Среди программ, под которые он может мимикрировать, такие популярные как Adobe Flash и Google Wallet.

Первому расширенные права были выданы для возможности встраивания в любое приложение, второму — для доступа к NFC. Правда, начиная с Android 4.4, в систему были внесены важные изменения, после чего Flash перестал работать, то есть владельцы KitKat-устройств чуть более защищены.

К опасным приложениям, идентификатор которых может быть использован для заражения, относится помощник 3LM, встраиваемый некоторыми производителями, чтобы дать службе поддержки доступ к смартфону пользователя для удаленного устранения проблем.

Главный технический директор Bluebox Security Джефф Форристал (Jeff Forristal) рассказал, насколько просто заразить устройство: «Пользователю достаточно установить вредоносное приложение. «Троянец» немедленно вырывается за пределы «песочницы» и начинает творить все, что ему заблагорассудится».

Представитель Google, комментируя уязвимость и ее быстрое закрытие изданию ArsTechnica, выразил признательность Bluebox Security. Именно благодаря открытости кода сторонние компании могут просматривать его и находить серьезные ошибки, тем самым помогая делать Android лучше, сказал он. Кроме того, Google уже проверила все приложения из магазина и поступавшие снаружи через систему Verify и не выявила ни одного, использующего Fake ID.

 [via ArsTechnica]