Компания Trustwave, специализирующаяся на кибербезопасности, утверждает, что её специалистам удалось выявить уязвимость в фильтре безопасности интернет-магазина Google Play, которая позволяет злоумышленникам обновлять приложения, добавляя в них вредоносный код, сообщает CNet. Считается, что проблема заключена в Google Bouncer — автоматической системе, проверяющей недавно представленные для публикации приложения на наличие вредоносного кода и функциональные возможности.
Николас Перкоко (Nicholas Percoco), глава отдела SpiderLabs в Trustwave,
проведшего эксперимент с приложением в Play
Для наглядности из Trustwave послали в Play приложение блокировки сообщений SMS Blocker, и, поскольку ПО на тот момент было полностью функционально и не представляло никакой угрозы, Bouncer его благополучно пропустил. После этого, пользуясь выработанной техникой, сотрудники компании смогли 11 раз обновить приложение кодом, позволяющим ему получить доступ к пользовательским фотографиям, контактам, записям телефонных разговоров и даже открывать вредоносные веб-сайты.
Приложения, несущие опасность для пользовательских данных и устройств появлялись в Android Market и позже в Play не раз, однако их подавляющему большинству требовалось взаимодействие с пользователем (то есть проблемы с ними, теоретически, можно решить простой бдительностью). Trustwave показала, что при помощи полностью безопасного приложения и нескольких обновлений можно без ведома пользователя получить практически полный контроль над устройствами. Все данные об уязвимости будут представлены завтра на конференции по безопасности Black Hat, и мы уверены, что Google выслушает доклад Trustwave внимательно.