Рассекречен Android мастер-ключ

Специалисты по безопасности из компании Bluebox Security сообщили об уязвимости в модели безопасности операционной системы Android, которая позволяет злоумышленнику модифицировать содержимое файла APK, не меняя его криптографической подписи. Другими словами, в любое приложение можно добавить троян, сохранив криптографическую подпись оригинального автора приложения.

Скриншот HTC Phone после эксплойта

Разработчики не раскрывают подробностей уязвимости, но говорят, что сообщили о ней в Google еще в феврале (баг 8219321), но уязвимость до сих пор присутствует в последней версии ОС на большинстве мобильных устройств. Уязвимость существует уже как минимум четыре года, начиная с Android 1.6, то есть присутствует как минимум в 900 миллионах устройств.

Технические подробности об уязвимости будут раскрыты в выступлении на конференции Black Hat USA 2013, которая начнется 27 июля 2013 года.