DAJ CYNK

Google Play: wykryto backdoory w 500 aplikacjach pobranych ponad 100 mln razy

24.08.2017

Dodane przez: msnet

Kategoria: Aplikacje i rozrywka

Interakcje: 23

Ważne 3

2

Google zablokował tajne pobieranie pluginów przez ponad 500 aplikacji w sklepie Google Play po ostrzeżeniu przez naukowców Lookout.



Google zablokował tajne pobieranie pluginów przez ponad 500 aplikacji w sklepie Google Play po ostrzeżeniu przez naukowców Lookout.

Aplikacje, o których mowa, zawierały SDK (Software Development Kit) o nazwie Igexin, co umożliwiało im łączenie się z sieciami reklamowymi i dostarczanie spersonalizowanych reklam. Gdy w telefonie zainstalowana została aplikacja wykorzystująca złośliwą wersję Igexin, narzędzia dla programistów mogły ją zaktualizować, aby w dowolnym momencie, bez ostrzeżenia, pobrać szpiegujący dodatek. Najpoważniejszym spyware instalowanym w telefonach były pakiety, które kradły historię połączeń telefonicznych. Inne skradzione dane zawierały lokalizacje GPS, listy pobliskich sieci Wi-Fi i listy zainstalowanych aplikacji.

Naukowcy z zajmującej się bezpieczeństwem firmy Lookout napisali na swoim blogu, że coraz częściej autorzy oprogramowania szpiegującego próbują uniknąć wykrycia, dodając nieszkodliwe aplikacje do zaufanych sklepów, a następnie w późniejszym czasie pobierając złośliwy kod z odległego serwera. Igexin jest nieco niepowtarzalny, ponieważ twórcy aplikacji nie tworzą złośliwej funkcji, ani też nie kontrolują, a nawet nie zdają sobie sprawy ze złośliwego kodu, który może później zostać wykonany. Zamiast tego inwazyjna operacja inicjuje się z serwera kontrolowanego przez Igexin.

Aplikacje zawierające omawiany pakiet SDK to:

  • gry kierowane do nastolatków (jedna z liczbą pobrań z zakresu 50-100 mln),
  • aplikacje pogodowe (jedna z z liczbą pobrań z zakresu 1-5 mln),
  • radio internetowe (0,5-1 mln pobrań),
  • edytor zdjęć (1-5 mln pobrań),
  • aplikacje edukacyjne, programy typu zdrowie i fitness, podróżnicze, emoji, a także aplikacje do domowych kamer wideo.

Nie każda spośród 500 aplikacji zainstalowała jedną z wtyczek dostarczonych po cichu przez Igexin, ale naukowcy stwierdzili, że zestaw narzędzi może spowodować, że któryś z programów pobierze i zainstaluje takie wtyczki, gdy tylko będą potrzebne odpowiednie funkcje. Typ wtyczki, która może zostać dostarczona, był ograniczony przez system uprawnień systemu Android. Ponadto nie wszystkie wersje Igexin dostarczały funkcje szpiegujące. Omawiane aplikacje, mogące pobrać złośliwe wtyczki, wysyłały okresowo żądania do serwera znajdującego się pod adresem http://sdk.open.phone.igexin.com/api.php.

Lookout nie opublikował listy aplikacji dotkniętych problemem, ponieważ naukowcy nie wierzą, że twórcy wiedzieli o możliwościach spyware zawartych w pakiecie SDK. Rzecznik firmy Google, która została o całej sprawie poinformowana, napisał: Działaliśmy na tych aplikacjach w Play i automatycznie zabezpieczaliśmy wcześniej pobrane wersje. Doceniamy wkład społeczności naukowej, który pomaga utrzymać bezpieczeństwo Androida. Twórcy Igexin nie wypowiedzieli się w sprawie.

Źródło tekstu: arstechnica.com, wł

Komentarze
Zaloguj się