Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

среда, 28 марта 2012 г.

Новая дыра в Google Play

Не успели утихнуть страсти по критическому обновлению android, как Google "порадовал" нас очередной возможностью для зловредостроителей.
Как Вы уже наверное читали, в ночь с 26 на 27 марта на Google Play появилась новая версия приложения «МТС Мобильная Почта», которая устанавливалась на смартфоны Samsung Galaxy S и S2 автоматически и без возможности удаления (при отсутствии прав root и танцев с бубном). Отдельное удовольствие получили обладатели смартфонов, которые не пользуются услугами МТС. Особенно не русскоговорящие, которые тут же окрестили приложение "русским вирусом".
Сам Google называет это "досадным недоразумением" и объясняет произошедшее тем, что имя вышеупомянутого приложения  "случайно совпадает с идентификатором стандартной почтовой программы для смартфонов Samsung". Предположим, что разработчик действительно случайно при выборе имени угадал все 12 знаков и все случайно (даже совпадение, что обе программы являются почтовыми). Возможно, я бы приложению с названием  «МТС Мобильная Почта» тоже присвоил бы идентификатор com.seven.Z7 - это ведь логично? Если быть точным, то, используя уязвимость Google Play, подправил идентификатор на случайно совпадающий.
МТС и Самсунг руководствуются старой народной мудростью "иногда лучше жевать, чем говорить" . По этому секрет совпадения остается за кадром.
Но остается невысказанный вопрос. А если на месте злополучного приложения от МТС окажется то самое критическое обновление для андроида, которое заменит стандартное приложение для работы с СМС (случайно совпадут идентификаторы)? Да еще и без возможности его удаления штатными средствами? И в считанные секунды остаток на счете осчастливленного владельца смартфона отправится в недалекий путь на счет совсем другого владельца в виде СМС на короткие платные номера.
Что там консультанты писали про безопасные источники для установки приложений?

4 комментария:

  1. Come to the light side. Flash Cyanogenmod.

    http://download.cyanogenmod.com/?type=nightly

    ОтветитьУдалить
  2. Абстрагируясь от того факта, что циан мне не нравится, не вижу, как это решит проблему. Уязвимость в Плее, соответственно, под риском любое приложение. То, что МТС осчастливил именно Самсунг - просто совпадение.

    ОтветитьУдалить
  3. Ну это как бы уже совсем другая история. Более интересно то, как на это отреагировали всякие андроидные "антивирусы".

    ОтветитьУдалить
  4. Если вопрос о МТСовском софте, то ответ есть - никак не отреагировали. Ведь зловредного кода в приложении нет.

    ОтветитьУдалить