Атака через приложение из Android Marketa

Теперь, когда мы знаем некоторые тонкости механизма установки приложений из Android Marketa, можно рассказать об изящной атаке, которую удалось провернуть Джону Оберхейду. Идея такова. Если мы можем сами конструировать запросы на установку, то ни. что не мешает нам написать приложение, которое будет делать это автоматически.

Если подобную функциональность добавить во вполне невинную программу и начать распространять через Android Market, то всем установившим ее пользователям можно в придачу загрузить все что угодно! Сказано —сделано. Джон написал РоС – приложение и назвал его Angry Birds Bonus Levels, что должно было привлечь внимание пользователей Android Market. Простейшая социальная инженерия сработала: программу начали устанавливать пользователи. Наиболее внимательные из них наверняка замечали, что в области обновления появлялись сообщения об установке еще трех программ: для отслеживания месторасположения, осуществления звонков на платные номера и кражи контакт – листа.

Все они действительно имели вредоносную функциональность, но никак не использовались. Тут надо сказать, что исследователь сразу после тестирования РоС сообщил о проблеме в Google, и компания уже пофиксила баг.

Решение, кстати, оказалось очень простым. Система теперь отмечает для себя все запросы на установку приложений, сделанные через Android Market, и проверяет, чтобы для входящего сообщения INSTALL_ASSET был ранее сделан соответствующий запрос. Если Vending – компонент получает сообщение INSTALL_ASSET для приложения, которое он не ожидает, то команда просто игнорируется. Казалось бы, проблемы больше нет. Но! В теле сообщения может находиться специальный флаг, который позволяет отрубить проверку, но это уже немного другая история.

Также рекомендую почитать:

1. Взаимодействие с Android Market
2. Надежность канала данных
3. Система управления всеми устройствами на Android: что это и для чего…?