W odpowiedzi Bitdefender opublikował aktualizację swoich rozwiązań dla urządzeń mobilnych: Bitdefender Mobile Security & Antivirus oraz bezpłatnego Antivirus Free for Android, umożliwiając wykrywanie i blokowanie pakietów, które potencjalnie mogą doprowadzić do zainfekowania urządzenia przy wykorzystaniu tej podatności.
Według wstępnych wyników badań, zagrożenie tkwi w sposobie, w jaki Android sprawdza cyfrowe podpisy w pakietach instalacyjnych. Spreparowany pakiet APK – właściwie archiwum ZIP – mieści w sobie dwa pliki o identycznej nazwie. Jeden z nich posiada cyfrowy podpis, a drugi zawiera złośliwy kod. Kiedy Android przegląda zawartość APK, po odczytaniu pliku manifest.mf potwierdza podpis pierwszego pliku. Następnie, w trakcie rozpakowywania archiwum, podpisany cyfrowo plik zostaje nadpisany przez drugi, o szkodliwym działaniu. Android nie dokonuje ponownego sprawdzenia sygnatury, umożliwiając tym samym instalację malware’u.
Dlaczego ten błąd jest szczególnie istotny?
Luka dotyczy Androida od wersji 1.6 po 4.1, istnieje więc duża szansa, że twoje urządzenie również jest na nią podatne. Chociaż Google poinformował o stworzeniu łaty, prawdopodobnie nadal nie otrzymałeś aktualizacji – użytkownicy starszych wersji smartfonów z systemem Gingerbread (Android 2.3.x) lub wcześniejszych mogą spodziewać się, że w ogóle nie otrzymają odpowiedniego uaktualnienia. Zagrożenie jest poważne także dlatego, że atakujący mogą wykorzystywać aplikacje dobrze znanych i popularnych deweloperów, infekować je złośliwym kodem, a następnie rozprowadzać za pośrednictwem innych stron.
Kolejna podatność, umożliwiająca modyfikację plików APK bez naruszania podpisów cyfrowych, została odkryta wkrótce później przez chińskich badaczy. W tym wypadku, zamiast manipulowania kontenerem ZIP w celu umieszczenia dwóch plików o identycznej nazwie, złośliwy kod został wstrzyknięty do nagłówka ZIP w celu dołączenia go po rozpakowaniu do pliku classes.dex. Pozwala to potencjalnemu napastnikowi zmieścić do 64KB dodatkowego kodu bez ryzyka naruszenia podpisu.
Obecność niezałatanej luki w swoim urządzeniu sprawdzić można za pomocą BlueBox Security Scanner.
