Bluebox tiene recientemente revelada una vulnerabilidad (error de seguridad de Android 8219321) en Android , es decir, obtener un lote de cobertura en los medios de comunicación.
El título de la publicación es "Descubriendo la clave maestra de Android". Supongo que esto es solo un título amigable para los medios de comunicación y que no se incluye una clave maestra.
De lo que han revelado hasta ahora, permite
Modificación del código APK sin romper la firma criptográfica
Tomando esto como valor nominal, si es posible tomar una aplicación de Android (APK) firmada y modificarla sin invalidar la firma, ¿qué ataques prácticos son posibles?
¿Cuál es el riesgo para un usuario típico de Play Store solo (probablemente solo instale resultados de búsqueda de alto rango y aplicaciones destacadas en Play Store)?
Algunas preguntas más específicas:
-
Dado un APK firmado con validez (modificado maliciosamente), ¿cuáles son las barreras para obtener la versión legítima de Play Store de la aplicación actualizada con ese archivo?
-
¿Un atacante de hombre en el medio (por ejemplo, un punto de acceso wifi malicioso) podría explotar la actualización automática de cualquier manera (esto podría ser, ¿los archivos APK se entregan a través de HTTPS?)
-
Indican que una aplicación firmada que parece provenir del fabricante del dispositivo permite el acceso total al sistema. ¿Son estos permisos diferentes al sistema de permisos de Android normal? ¿Como funciona? ¿Se entregan las actualizaciones del sistema como archivos APK y hay algún riesgo aquí?
-
¿En qué medida ayuda esto a los ataques de phishing? ¿Es de suponer que un usuario todavía debería habilitar la instalación desde "fuentes desconocidas"?
Aprecio que en este punto los detalles completos de la vulnerabilidad no estén disponibles públicamente *, por lo que estoy buscando respuestas basadas en la cita anterior, y posiblemente extrapolando información adicional de cualquier otra cosa que Bluebox haya dicho o de otras fuentes acreditadas. .
* presumiblemente, si este error se solucionó en las actualizaciones publicadas públicamente, descubriremos rápidamente qué hay de las personas que analizan los deltas en el área de verificación de APK.