Na Google Play pronađene aplikacije koje koriste ''Master Key'' bag

Mobilni telefoni, 19.07.2013, 08:58 AM

Stručnjaci kompanije BitDefender otkrili su dve relativno popularne aplikacije na Google Play kod kojih je iskorišćen sada već poznati Android „Master Key“ bag, ali srećom, korisnici koji su preuzeli ove aplikacije nemaju razloga za brigu jer namere programera aplikacije nisu loše.

Reč je o igricama Rose Wedding Cake i Pirates Island Mahjong Free, koje su poslednji put ažurirane sredinom maja.

Kako objašnjavaju u BitDefender-u, aplikacije sadrže dva dupla PNG fajla koji su deo interfejsa igrica. To ne znači da aplikacije sadrže maliciozni kod, već da samo slučajno iniciraju bag kojim prepisuju image fajl u paketu, i iz BitDefender-a pretpostavljaju da je reč samo o grešci, te da kod njih ne postoji zla namera niti opasnost po korisnike. Nasuprot tome, maliciozno iskorišćavanje ovog propusta bi podrazumevalo da se image fajl prepiše malicioznim kodom, koji bi potom bio izvršen.

Bag koji su nedavno otkrili istraživači firme Bluebox Security omogućava hakerima da menjaju kod bilo koje aplikacije bez menjanja njenog kriptografskog potpisa što znači da je svaku legitimnu aplikaciju moguće pretvoriti u Trojanca koji se onda može koristiti za krađu podataka, stvaranje mobilne bot mreže ili preuzimanje potpune kontrole nad operativnim sistemom. O sličnom bagu izvestio je i korisnik jednog kineskog foruma.

Google je već zakrpio obe ranjivosti i prosledio zakrpe proizvođačima Android uređaja, ali će proći još mnogo vremena pre nego što svi proizvođači i mobilni operateri distribuiraju zakrpu svojim korisnicima.

Pre nedelju dana Bluebox je ponudio korisnicima aplikaciju Bluebox Security Scanner koja otkriva korisniku da li je njegova Android instalacija već zakrpljena, da li je sistem podešen tako da dozvoljava instalaciju aplikacija izvan Google Play marketa, kao i da li je korisnik već instalirao aplikacije koje koriste propust.

Istraživači System Security Lab-a i Duo Security imaju i bolju ponudu od ove: ReKey, aplikaciju koja uzima zakrpu od Google-a i primenjuje je na bezbedan način koji nije štetan po uređaj.

Aplikacija je u fazi testiranja i radi samo na root-ovanim uređajima. I ova aplikacija otkriva aplikacije koje zloupotrebljavaju „Master Key“ ranjivost ako korisnik pokuša da ih instalira.

Ovakva aplikacija može biti veoma korisna, kažu u BitDefender-u, s obzirom da su dve aplikacije koje su otkrili stručnjaci ove firme uspele da neprimećene dođu do Play Store-a, iako iz Google-a tvrde da je tako nešto nemoguće.