Bluebox ha ha recentemente rivelato una vulnerabilità (bug di sicurezza Android 8219321) in Android , che sta ricevendo molta copertura nei media.
Il titolo del post è "Scoprire la chiave master di Android" - presumo che questo sia solo un titolo adatto ai media, e che una chiave principale non ci arrivi.
Da ciò che hanno divulgato finora, consente
APK code modification without breaking the cryptographic signature
Prendendo questo a valore nominale, se è possibile prendere un'applicazione Android firmata (APK) e modificarla senza invalidare la firma, quali attacchi pratici sono possibili?
Qual è il rischio per un tipico utente di Play Store (probabilmente solo installando risultati di ricerca di alto livello e app in evidenza nel Play Store)?
Alcune domande più specifiche:
-
Dato un APK validamente firmato (mal intenzionalmente modificato), quali sono gli ostacoli per ottenere la versione legittima del Play Store della app aggiornata con quel file?
-
Un hacker man-in-the-middle (ad esempio un hotspot Wi-Fi dannoso) potrebbe sfruttare l'aggiornamento automatico in qualsiasi modo (potrebbe essere) gli APK consegnati su HTTPS?)
-
Affermano che un'app firmata che sembra provenire dal produttore del dispositivo consente l'accesso completo al sistema - queste autorizzazioni sono diverse dal normale sistema di permessi Android? Come funziona? Gli aggiornamenti di sistema vengono forniti come APK e qui vi sono dei rischi?
-
Quanto questo aiuta gli attacchi di phishing? Presumibilmente, un utente dovrebbe comunque abilitare l'installazione da "fonti sconosciute"?
Apprezzo che a questo punto i dettagli completi della vulnerabilità non siano pubblicamente disponibili *, quindi sono alla ricerca di risposte basate sulla citazione precedente e possibilmente estrapolando informazioni aggiuntive da qualsiasi altra cosa Bluebox abbia detto o da altre fonti affidabili .
* presumibilmente se questo bug è stato corretto in tutti gli aggiornamenti rilasciati pubblicamente, scopriremo molto rapidamente che cosa proviene da persone che analizzano i delta nell'area di verifica dell'APK.