Google давит на ошибку, которая угрожает 99% приложений для Android

Согласно отраслевому отчету, Google исправила уязвимость «главного ключа» в Android, недавно обнаруженную Bluebox Security.
Уязвимость, которая позволяла хакерам изменять код APK, не нарушая криптографическую подпись приложения, может превратить 99 процентов всех приложений Android в вредоносные трояны, утверждает Bluebox.

Мы не слышим о рисках безопасности для Android так часто, как в предыдущие годы, но уязвимость «мастер-ключа», объявленная на прошлой неделе Bluebox Security, была ошеломляющей.
Уязвимость может затронуть до 900 миллионов устройств, выпущенных с Android 1.6 или выше, с возможностью превращения до 99 процентов приложений Android в троянское вредоносное ПО, утверждают в компании по безопасности.

8 июля Стивен Дж. Воган-Николс из ZDNet сообщил, что Google подтвердил, что решение проблемы уже на подходе.
По словам Джины Скильяно, менеджера по коммуникациям Android от Google, партнерам Google по Android было предоставлено исправление для этой уязвимости.
«Некоторые производители, например Samsung, уже поставляют исправления на устройства Android», - добавила она.

Сцильяно также предположил, что эта уязвимость не так опасна, как утверждает Bluebox, отметив, что инструменты сканирования Google не видели каких-либо доказательств эксплуатации в Google Play или других магазинах приложений для Android.
Она также отметила, что функция Android Verify Apps, вероятно, также обеспечит защиту приложений, которые могли быть перевернуты с помощью мастер-ключа.

По словам Bluebox , в феврале он сообщил Google об ошибке безопасности Android.
С тех пор Google работает над этой проблемой и информирует своих партнеров по Open Handset Alliance, но до сих пор публично не признавал этот риск.
Согласно отчету о H , проект CyanonogenMod, известный своими популярными клонами Android с открытым исходным кодом, исправил свой код, чтобы исправить ошибку 7 июля, но версия Android с открытым исходным кодом Google AOSP еще не была исправлена.

Гениальность использования заключается в том, что он может воспользоваться уязвимостью мастер-ключа для взлома APK (файлов пакетов приложений Android) без необходимости ломать их криптографическую подпись.
Тем не менее, как отмечает H, хотя использование ошибки довольно просто, злоумышленникам по-прежнему нужно пройти мимо функций безопасности Google Play, чтобы публиковать измененные версии вредоносных программ.

На протяжении многих лет многочисленные фирмы по обеспечению безопасности мобильных устройств объявили об уязвимостях Android, получив широкую огласку в этом процессе.
Большинство претензий были законными, но часто были раздуты охранной фирмой или прессой, и некоторые претензии оказались обманчивыми.
Это кажется законным, но, возможно, менее опасным, чем первоначально утверждалось.

Боб желе выбивает имбирный пряник

Google продолжал обновлять Android функциями безопасности на протяжении многих лет, и, хотя он все еще не может соответствовать жестко контролируемой среде безопасности iOS, ситуация, похоже, улучшается.
Android также исправляет еще один большой недостаток: фрагментацию версий.
8 июля Google опубликовал ежемесячную статистику использования Google Play, указав, что впервые число посетителей, использующих Jelly Bean (Android 4.1 и 4.2), превысило число посетителей, использующих Gingerbread (Android 2.3).
Число пользователей Jelly Bean выросло с 33 процентов в июне до 37,9 процента в июле, в то время как количество пряников снизилось с 36,5 процента до 34,1 процента.


Использование Android за 14-дневный период, заканчивающийся 18 июля 2013 г.

(источник: Google)

Прошедший месяц Ice Cream Sandwich (Android 4.0) занял третье место с 23,3% против 25,6%.
Хорошей новостью является то, что старые сборки Donut, Éclair и Froyo объединяют менее 5 процентов, а неудачное микропрограммное обеспечение для планшетов Honeycomb - всего 0,1 процента.
Между тем устройства Android 4.x представляют более 61 процента посетителей, предоставляя пользователям довольно современный набор исправлений безопасности и обновлений производительности.
Они также имеют довольно схожую функциональность, что облегчает работу разработчиков, чем в прошлые годы.
Похоже, что скромное обновление Android 4.3 упадет далеко от дерева Jelly Bean.