Okazuje się, że smartfony z Androidem są podatne na zaskakująco prostą sztuczkę, której wykorzystanie może doprowadzić do groźnej infekcji.
Pliki APK, za sprawą których dystrybuowane są aplikacje na Androida, są w istocie rzeczy archiwami ZIP. Wyróżnia je wyłącznie zawartość, w co wliczają się przede wszystkim określony algorytm kompresji i obecność manifestu zawierającego podstawowe definicje, takie jak nazwa tworzonej usługi.
Problem polega na tym, że, jak donoszą badacze z Zimperium, kilka prostych trików związanych z APK wystarcza, by przemycić do systemu oprogramowanie szkodliwe. Nawet takie, które w teorii powinno zostać wykryte przed oprogramowanie zabezpieczające.
Zauważono, że jeśli domyślnie sugerowany algorytm kompresji Deflate zostanie zmieniony na inny, to złośliwy kod może pozostać niezauważony, a Android 9 i nowsze i tak pozwolą na instalację. Dodatkowo podobne zachowanie wywołuje przekroczenie limitu 256 bitów dla nazwy bądź celowe uszkodzenie manifestu.
Prowadząc badania, znaleziono 3300 przypadków aplikacji, które tego typu sztuczki wykorzystują. Dokładnie 71 z nich określono jako jednoznacznie niebezpieczne. Co ciekawe, nie dotyczy to starszych systemów operacyjnych Google. Dlaczego? Bo te aplikacji skompresowanych w nietypowy sposób instalować nie chcą.
Dobra wiadomość jest taka, że ponoć żadnej z wykrytych, szkodliwych aplikacji nie ma w tej chwili w Sklepie Play. Niemniej nie oznacza to, że nie są one dystrybuowane w inny sposób, na przykład za pośrednictwem sklepów nieoficjalnych albo stron internetowych.
Źródło zdjęć: Shutterstock
Źródło tekstu: Zimperium, oprac. własne
