Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/8/2013
Et sikkerhedshul i Android gør det muligt at ændre på en app, uden at appens digitale signatur bliver ændret. Tricket udnyttes i kinesiske apps, der udstyres med skadelige funktioner.Sikkerhedshullet blev opdaget i begyndelsen af juli. Hullet ligger i Android-styresystemets metoder til at tjekke sikkerheden af en app.
Det er muligt at lægge to versioner af samme fil ind den APK-fil (Android Package), som udgør af en app. Tjekket af den digitale signatur undersøger den første fil men det er den anden fil, der installeres.
Sikkerhedsfirmaet Symantec har fundet flere eksempler, hvor bagmænd udnytter sårbarheden til at smugle skadelige funktioner ind i ellers legitime apps. Foreløbig er det kun observeret på kinesiske apps.
Google har lukket sikkerhedshullet i den nyeste version af Android. Men der går ofte længere tid, før producenterne af smartphones implementerer rettelser i deres versioner af styresystemet.
Efter sårbarheden blev offentliggjort, fandt sikkerhedsforskere en anden lignende sårbarhed. Også den har Google fjernet fra Android.
Anbefaling
Hent kun apps fra Google Play-butikken. Brug antivirus til at beskytte mod skadelige apps.
Links
- Anatomy of a security hole - Google's "Android Master Key" debacle explained, blogindlæg fra Sophos
- Anatomy of another Android hole - Chinese researchers claim new code verification bypass, blogindlæg fra Sophos
- First Malicious Use of 'Master Key' Android Vulnerability Discovered, blogindlæg fra Symantec