Оказалось, что в проверка подписи приложений в андроиде - дуршлаг

Никто не мешает добавить в гугл плей приложение, которое «обновится» с сайта злоумышленника.

Это одно из правил добовления приложений в гуглоплей

да

В смысле так делать нельзя по правилам гуглоплея

Да ничего, в общем-то и не поменялось. Нефиг ставить что-то из левых мест.

Раньше можно было надеяться на проверку цифровой подписи. Теперь - нет. И «уязвимы все версии android» - полный абзац

Проверка цифровой подписи нужна для того чтобы нельзя было поставить левое «обновление» того софта, что у тебя уже стоит.

Например - стоят у тебя яндекс-карты, ты же не будешь ставить новую версию яндекс-карт, откуда-нибудь из левого места? А иначе, чтобы воспользоваться уязвимостью, злоумышленнику нужно угнать паблишер-аккаунт яндекса.

То есть, в принципе, все остается как и было:

a) не нужно ставить софт из левых мест

б) при установке софта внимательно смотреть на пермишны

allowing for APK code modification without breaking the cryptographic signature

1 использовать цианоген
2 качать исходники c f-droid
3 проверять код и компилировать самому
4 ???????
5 Profit

Ну а дальше что? Вот ты взял APK яндекс-карт, внедрил в него вредоностный код, как ты его пользователю отправишь?

Так же, не забывай, что если вредоностный код будет обращаться к тем API, что требуют дополнительных пермишнов (например - контакты или смс), то их тоже нужно будет добавить в AndroidManifest.

Сотни леммингов качают софт с варезных сайтов по привычке. Социальную инженерию тоже никто не отменял. Ставят же браузеры с взондленными плагинами.

то их тоже нужно будет добавить в AndroidManifest.

Зато есть системные приложения, например от производителей гаджетов. Про ситуацию с отсутствием официальных обновлений все в курсе. И когда на тот же 4pda выкладывают обновление прошивки «от анонимуса», её устанавливает большое количество «продвинутых пользователей»

Да, в итоге ничего не меняется, как выкладывали малварю, так и будут выкладывать.

Чтобы не наколоться, нужно ставить софт только из проверенных мест - раз. Внимательно читать пермишны - два.

И когда на тот же 4pda выкладывают обновление прошивки «от анонимуса»

Если ты про обновление прошивки через CWM и проч., то там и сейчас все зависит исключительно от совети анонимуса, потому что можно не изменять apk, а положить нужный код рядышком.

Если игнорировать «проверке подписи приложений в андроиде больше нельзя доверять», то да, ничего не изменилось :)

«В заборе по периметру режимного объекта упала одна секция. Ну и ладно, у вменяемого командира всё равно служба войск поставлена и патрули ходят.»

Ну да, неприятно, но что делать. И автоматички, полного доступа к устройству, эта штука не даст.

Гугл бяка, согласен.

Я тормоз. Только теперь решил внимательно прочитать первое сообщение и понял, что оно весьма неоднозначно. Исправил текст темы.

Да, теперь все по делу написано.

На швабре, так вообще, такую бучу раздули, что жутко становится от такой откровенной желтизны.

вообще-то не все. Но эти «не все» уже практически не используются

Нефиг ставить что-то из левых мест.

То что у гугла монополия на дистрибьюцию софта для Android, это полный фейл.

вообще-то даст. никто не мешает изменить приложение, которое имеет доступ к /

На 4pda пасётся толпа школоломартышек, которые могут (и то с переменным успехом) только тупо следовать инструкциям, совершенно не задумываясь над их смыслом. Если им написать N-ным пунктом: «Пришлите пароль от своего гугл-аккаунта и номер банковской карты на такой-то адрес» - вопли будут только: «А у миня нету карты, што делать? мамину можно?»

Это приложение еще нужно как-то загрузить пользователю, и чтобы он согласился его установить.

Сторонних маркетов до жопы, какая еще монополия?

Ну а дальше что? Вот ты взял APK яндекс-карт, внедрил в него вредоностный код, как ты его пользователю отправишь?

очевидно, подменив IP адрес яндекса на какой-то подставной сервер. Это можно сделать как в самом девайсе, так и на любом узле между девайсом и яндексом. Причём приложение ничего и не заподозрит, как и юзер.

Например так защищались от проверки подлинности в WinXP, просто заворачивая проверялку на локалхост. Многие вирусы тоже подменяют некоторые адреса, дабы пользователь попадал не на 87.240.131.99 (где у меня сейчас vk.com), а на какой-то иной IP(по которому предлагают отправить СМС или ещё что-нить полезное).

И вообще, модератору лора как-то странно верить в то, что vk.com это именно сайт вконтакта, а не какая-то НЁХ, которую тебе специально подставили. Ты просто расслабился, пользуясь тем, что в твоём арчике ЭЦП ещё никто не сломал, и потому ты можешь смело качать ПО откуда угодно.

Не пофиг разве? Андроид и не был таким уж защищённым. Из левых источников установка не рекомендуется. А любители вареза должны страдать.

То что у гугла монополия на дистрибьюцию софта для Android, это полный фейл.

А так устроен Андроид, что без гугла никуда. Сами для себя и сделали всё. Империя добра. С Убунту-фоном таж фигня будет почти, если взлетит.

Ну тут стоит вопрос доверия сторонним маркетам.

Вот я ровно про то и пишу, что сама по себе уязвимость не дает доступа ко всему телефону, вопрос доставки зараженного кода пользователю - это отдельный разговор.

Сценарии доставки можно выдумывать какие угодно, это уже отдельная история.

Вот я ровно про то и пишу, что сама по себе уязвимость не дает доступа ко всему телефону, вопрос доставки зараженного кода пользователю - это отдельный разговор.

сама по себе эта уязвимость как раз и решает вопрос доставки. Т.е. если раньше у тебя приложение обновлялось, и ты был спокоен, зная, что оно качает то что надо, а не НЁХ, то теперь приложение обновляется, но ты НЕ знаешь, ЧТО оно скачало. Т.е. новая яндекс-карта может оказаться совсем не картой, и совсем не от яндекса. Но приложение вместе с тобой об этом НЕ узнает. Злоумышленник может с лёгкостью скачать настоящую карту, и подвесить к ней ЧТО УГОДНО, а ты вместе с приложением ничего и не узнаешь.

Сценарии доставки можно выдумывать какие угодно, это уже отдельная история.

в том-то всё и дело, что сценарий доставки УЖЕ есть: это обновления/установка. Это как СПИД, который совсем не опасен сам по себе. Он просто уничтожает иммунную систему, которая в общем-то и не нужна никому, кто живёт в стерильном боксе. А все остальные ВИЧ инфицированные подыхают от тривиальной простуды. Точно также и тут — твой девайс погубит тривиальный апплет к телефонной книжке, который скачается так, что ты даже и не заметишь. И запустится как родной, ибо защитная система у тебя уничтожена.

Из левых источников установка не рекомендуется.

фишка в том, что «левость» источника как раз и обеспечивается отсутствием доверенной ЭЦП. Если эта уязвимость действительно работает, то ВСЕ источники становятся «правыми».

А любители вареза должны страдать.

а вот как раз любителей вареза это и не коснётся.

Злоумышленник может с лёгкостью скачать настоящую карту, и подвесить к ней ЧТО УГОДНО, а ты вместе с приложением ничего и не узнаешь.

А давно протокол гугл-плея отреверсили? Ты уверен, что там защита обеспечивается исключительно подписью apk?

Все покупаем Samsung Galaxy S4.

Ты уверен, что там защита обеспечивается исключительно подписью apk?

я уверен только лишь в том, что _всё_ кроме ЭЦП отлично ломается. И те, кому это нужно, сломают и отреверсят в ближайшее время.

Да и что там может быть такого, что сложно сломать?

Google выпустил патч и послал его производителям

Посмотрим, для каких устройств выпустят обновления.

http://www.zdnet.com/google-releases-fix-to-oems-for-blue-security-android-se...

http://habrahabr.ru/post/186086/