Jak na firmowym blogu poinformował Jeff Forristal, dyrektor ds. technologii w Bluebox Security, problem dotyczy wszystkich urządzeń z Androidem, począwszy od wydanej cztery lata temu wersji 1.6 do najnowszej. Według ekspertów na atak może być podatnych nawet 900 mln smartfonów i tabletów.

Luka odkryta przez Bluebox Labs pozwala na modyfikację kodu APK bez naruszania kryptograficznej sygnatury. Przestępca może dzięki temu wstrzyknąć złośliwy kod do dowolnej „zdrowej” aplikacji i umieścić ją w sklepie - znanych jest wiele przykładów rozpowszechniania szkodliwych aplikacji za pomocą sklepu Google'a. Standardowe ostrzeżenie, by nie pobierać programów z niezaufanych źródeł, w tym przypadku może się więc nie sprawdzić.

Stopień zagrożenia zależy od uprawnień, jakimi będzie dysponować przekształcona aplikacja. Należy oczekiwać, że powstały w ten sposób trojan będzie mógł odczytać dowolne dane gromadzone na zaatakowanym urządzeniu (e-maile, SMS-y, dokumenty itd.), nikogo też nie powinna dziwić możliwość przechwytywania haseł i innych poufnych informacji.

Forristal podkreśla, że największe zagrożenie mogą stanowić zmodyfikowane aplikacje producentów sprzętu (HTC, Samsunga, Motoroli, LG i innych) oraz narzędzia typowo korporacyjne, oferowane np. przez Cisco, które korzystają ze specjalnych uprawnień systemowych. W takim przypadku może dojść do przejęcia całkowitej kontroli nad urządzeniem i dołączenia go do botnetu. Dokonanie podmiany na oficjalnych stronach producentów byłoby sporym wyczynem, należy więc oczekiwać powstania fałszywych witryn zachęcających do pobrania „ulepszonych” aplikacji.

Android z kluczem, fot. Shutterstock

O istnieniu luki Google zostało poinformowane w lutym br. Przygotowanie stosownych poprawek leży jednak w gestii producentów sprzętu, a im zupełnie się nie opłaca aktualizowanie firmware'u w telefonach, na których i tak już nie zarobią. Forristal potwierdził dla serwisu Computerworld, że na razie gotowym patchem mogą się cieszyć tylko użytkownicy smartfona Samsung Galaxy S4.

Google wciąż jeszcze pracuje nad aktualizacją dla swoich urządzeń z rodziny Nexus. Kiedy i czy w ogóle pojawią się poprawki dla innych modeli smartfonów, nie wiadomo. Nieubłaganie zbliża się natomiast termin konferencji Black Hat USA 2013, na której Jeff Forristal zaprezentuje sposób wykorzystania luki.

Czytaj także: Fałszywy antywirus na Androida i inne „atrakcje” - wideo