Vakava haavoittuvuus Android-ohjelmistokehityspaketissa
Vakava haavoittuvuus suositussa kolmannen osapuolen Android-ohjelmistokehityspaketissa (SDK) on jättänyt kymmeniä miljoonia kryptovaluuttalompakoita alttiiksi tietojen varastamiselle, kertoo Microsoft Defender Security Research Team tuoreessa raportissaan. Tämä vika on mahdollistanut haitallisten sovellusten kiertää Androidin ydin turvallisuushiekkalaatikko.
Vaikutukset ja altistuminen
Haavoittuvuus on vaikuttanut laajaan valikoimaan sovelluksia, ja kryptovaluutta- sekä digitaalisen lompakon ekosysteemi on kärsinyt eniten altistumisesta, johtuen tallennettujen tietojen korkeasta arvosta. Microsoft on tunnistanut yli 30 miljoonaa asennusta vaikuttavista kolmannen osapuolen kryptolompakkosovelluksista, ja kokonaisaltistus ylittää 50 miljoonaa asennusta.
Jos haavoittuvuutta olisi hyödynnetty, se olisi voinut paljastaa henkilökohtaisesti tunnistettavaa tietoa (PII), yksityisiä käyttäjätunnuksia ja arkaluonteisia taloudellisia tietoja, jotka on tallennettu syvälle vaikuttavan sovelluksen yksityisiin hakemistoihin. Onneksi Microsoft huomautti, että tällä hetkellä ei ole todisteita siitä, että tätä haavoittuvuutta olisi koskaan aktiivisesti hyödynnetty uhkaajien toimesta.
EngageLab SDK ja haavoittuvuuden syyt
EngageLab SDK on työkalu, jota kehittäjät käyttävät hallitsemaan push-ilmoituksia ja reaaliaikaista sovelluksen sisäistä viestintää. Turvahaavoittuvuus jäljitettiin tiettyyn komponenttiin (MTCommonActivity), joka lisättiin automaattisesti sovelluksen taustakoodiin rakennusprosessin jälkeen. Koska tämä komponentti vietiin laajasti, se tuli muiden samalla Android-laitteella asennettujen sovellusten saataville.
Hyökkäysmenetelmä
Haitallinen sovellus, joka oli asennettu samalle laitteelle, saattoi laatia manipuloidun viestin (”intent”) ja lähettää sen haavoittuvaan kryptolompakkosovellukseen. Lompakkosovellus käsitteli tämän intentin käyttäen omaa luotettua identiteettiään ja oikeuksiaan, mikä huijasi lompakkoa myöntämään haitalliselle sovellukselle pysyvän luku- ja kirjoitusoikeuden sen yksityisiin tietohakemistoihin.
Toimenpiteet uhkan lieventämiseksi
Nopeita toimia on toteutettu Android-ekosysteemissä uhkan lieventämiseksi.
