Fake ID это новая уязвимость в Android, обнаруженная лабораториями Bluebox. Это опасная ошибка, которая может затронуть все устройства Android. Это большой забота об устройствах со старой версией Android, которые больше не получают обновления прошивки.
Уязвимость «Fake ID» влияет на то, как Android обрабатывает идентификаторы цифровых подписей, прикрепленные к приложениям от нескольких поставщиков. Операционная система настроена на автоматический прием приложений от определенных поставщиков, например приложений Adobe. Эти приложения также могут автоматически подключаться к оборудованию других приложений и устройств, чего другие приложения не могут.
Читайте также: Как проверить, не пострадало ли ваше устройство от ошибки Heartbleed OpenSSL
Злоумышленник может создать новый сертификат удостоверения и подделать утверждение, что сертификат удостоверения был выдан Adobe, а затем создать приложение, содержащее как сертификаты, так и вредоносное удостоверение, а также сертификат Adobe. Когда вы устанавливаете приложение, установщик пакета Android не проверяет заявление о вредоносном сертификате личности и создаст пакет, содержащий оба сертификата.
Это обманывает код проверки сертификатов в диспетчере подключаемых модулей webview, который проверяет цепочку сертификатов Adobe. Этот трюк позволяет приложению использовать права плагина, предоставленные Adobe Systems. Он выходит из песочницы и вставляет вредоносный код в виде плагина веб-просмотра в другие приложения.
Читайте также: Как исправить уязвимость с фальшивым идентификатором на Android
Bluebox создал приложение, чтобы вы могли сканировать свое устройство иo определить, уязвима ли ваша система. Он называется Bluebox Security Scanner. Он доступен в Play Store и может быть загружен здесь.