Атака на смартфоны Samsung и дыра в безопасности Google Play Market

Владельцы Samsung Galaxy S/S2 – ваши устройства атакованы

К сожалению, на момент написания этого расширенного материала об атаке на смартфоны Samsung, мы не получили комментарии от Google и Samsung. В каждой из компаний сказали, что в течение дня подготовят комментарии и предоставят их. Однако, вся ситуация уже более-менее понятна и может быть описана досконально. Напомню, как все началось.

Описание ситуации

В Google Play Market среди приложений доступных для обновлений появляется МТС Мобильная Почта. К сожалению, данное приложение появляется как у владельцев телефонов МТС, так и других операторов (у меня, например, Мегафон и Билайн, предложили данное обновление). Также это обновление предлагается пользователям данных устройств по всему миру, а не только в России.

Учитывая, что предварительно данное приложение не должно быть установлено, оно сразу появляется в списке приложений для обновления. При установке приложение указывает, что ему требуется полный доступ к функциям телефона, включая SMS. Это также указывает на спорный характер приложения и вызывает серьезные опасения.

Еще один признаком того, что приложение вредоносное, является тот факт, что удалить приложение из списка установленных программ невозможно. Любые стандартные операции по удалению приложения приводят к тому, что оно восстанавливается. Удалить приложение можно только при наличии root доступа к телефону или полной его перепрошивкой (позднее оказывается, что способ все-таки существует).

Причины загрузки МТС.Мобильная почта

Каждый пакет APK имеет свое название, идентификатор, который выглядит как название разработчика. В случае приложения от МТС, это com.seven.Z7, но этот же идентификатор используется в почтовом приложении от Samsung. Компания Seven работает с большим числом производителей и операторов, их список можно увидеть на сайте этого разработчика.

Как выяснил наш читатель, использование одинакового идентификатора пакета, позволяет увидеть все ошибки, которые присылают для уже существующего приложения (в панели разработчика на Google Play market). Подробно этот процесс описан вот здесь.

Однако в Google предусмотрели возможность одинаковых названий и для того, чтобы избежать проблем каждое приложение должно быть подписано уникальным ключом разработчика. В частности, об этом говорится на сайте для разработчиков Android.

Проблема с загрузкой МТС.Мобильная почта связана с тем, что совпадает как название пакета для программы, так и ее подпись (разработчик один и тот же, при этом по какой-то причине использовал один и тот же ключ). В результате, телефон обнаруживал “обновление”, которое не было таковым и предлагал его установить. Так как изначальное приложение почты на телефонах Samsung является системным, то и удалить его нельзя. Поэтому и удаление обновления становилось затруднительным. Однако на форуме XDA-Developers обнаружили способ как удалить приложение без необходимости получения root-прав. Для этого достаточно зайти в менеджер задач, удалить кеш данных Google Play Market, а также данные этого приложения. В этом случае, МТС.Мобильная почта исчезает без следа и больше не появляется.

Еще утром в Google заблокировали данное приложение и установить его было нельзя. У некоторых пользователей оно появлялось в списке обновления, но установить приложение было невозможно.

На момент публикации получить комментарий от Google по данной ситуации мы не смогли, однако компания прокомментировала ситуацию для Theverge. В комментарии говорится о том, что Google изъял приложение, оно не затронуло пользователей, так как никогда не устанавливалось на устройства. Со своей стороны позволю в этой части комментария усомниться, так как удалял со своего телефона установленное приложение. Равно, как и большинство комментариев на странице приложения в Google Play Market, говорят ровно о том же.

В МТС прокомментировали ситуацию следующим образом: «В настоящее время Google, Samsung, МТС совместно с компанией-разработчиком программного обеспечения ведут совместную работу для скорейшего решения вопроса. Установленное автоматически приложение имеет все необходимые лицензии, не является вирусным и не представляет какой-либо угрозы для пользовательских устройств».

Получить комментарии Samsung и Google на момент публикации, мне не удалось.

Краткие выводы

Приложение от МТС не является вирусом, как я первоначально предположил исходя из его поведения. Стечение обстоятельств, которое привело к такому результату, выглядит редким и одновременно с этим диким. Фактически система безопасности Google Play Market продумана не до конца, о чем говорит и пример выше, с возможностью получить доступ к ошибкам в чужом приложении. В момент, когда началось публичное обсуждение этой проблемы, люди стали обнаруживать и другие примеры автоматической загрузки приложений на свои телефоны. Например, вот свежий пример загрузки некого приложения на телефон HTC.

Оценивать серьезность этого приложения, то как оно распространяется и насколько эта угроза реальна, я не стал. Но подобные истории при сохранении существующей системы публикации приложений и их проверки, могут повторяться. Что печально, так как для пользователей означает негативный опыт от общения с Android. В комментариях к МТС.Мобильной почте на Play Market несколько тысяч грубых, разгневанных записей от людей, кто столкнулся с автоматической установкой этого приложения. Уверен, что в Google этого не хотят и значит необходимо исправить ситуацию с безопасностью как можно быстрее. Для этого есть отличный пример в виде Apple App Store, где подобные истории пока не случались. Пока в этом аспекте счет не в пользу Google.

Если у вас есть какая-либо дополнительная информация или мысли на тему, то милости просим оставить ее в нашем форуме:

Обсуждение на форуме >>>

Ссылки по теме

Владельцы Samsung Galaxy S/S2 – ваши устройства атакованы

Эльдар Муртазин ([email protected])
Twitter    Livejournal
Опубликовано — 27 марта 2012 г.

Блог MrMurtazin.com

Есть, что добавить?! Пишите... [email protected]