Google kontroluje twój telefon

W zeszłym tygodniu Google po raz pierwszy wykorzystał posiadaną przez siebie możliwość usuwania aplikacji z telefonów z systemem Android. Usunięte aplikacje zostały stworzone przez Jona Oberheide (eksperta ds. bezpieczeństwem pracującego dla Scio Security) i miały zademonstrować łatwość wprowadzenia samouaktualniającego się kodu do telefonu. Sprawę opisywaliśmy tutaj.

Jak dzisiaj wiadomo, jedna z aplikacji podawała się za nowy trailer "Zmierzchu" i regularnie kontaktowała się z centralnym serwerem celem pobrania kodu, który następnie uruchamia na telefonie. W ten sposób haker mógłby wgrać na cudzy telefon i uruchomić złośliwy kod tuż po odkryciu luki w jądrze systemu. Po nagłośnieniu sprawy Google poprosił Oberheide o usunięcie aplikacji z Android Market, a następnie dla pewności użył swojego 'kill switcha' do usunięcia ich ze wszystkich telefonów.

We wpisie na swoim blogu Oberheide zwraca uwagę na potencjalnie dużo bardziej niebezpieczną funkcjonalność (wg. niego możliwość usuwania aplikacji przez Google ma więcej zalet niż wad), mechanizm INSTALL_ASSET, który pozwala firmie Google zainstalować aplikację bez wiedzy użytkownika.

Ten mechanizm (podobnie jak mechanizm REMOVE_ASSET wykorzystany do usunięcia aplikacji) korzysta z usługi GTalkService, nieprzerwanie chodzącej na smartfonie i utrzymującej połączenie z serwerami Google za pośrednictwem połączenia TCP/SSL/XMPP. Gdyby komuś udało się wykonać udany atak na to połączenie (np. Man in The Middle), to mógłbym w ten sposób zainstalować aplikację na telefonie użytkownika bez jego wiedzy.

Strach pomyśleć co mogłoby się stać gdyby ktoś wykonał udany atak na serwery Google, z którymi łączy się rzeczona usługa...

[via jon.oberheide.org]

Maciej Starzycki