Master Key'den sonra bir açık daha bulundu!

Android uygulamalarını dijital imzalarını bozmadan değiştirmeye izin veren ikinci bir açık bulundu.

Detayları buradaki Çince blog'da açıklanan sözkonusu açık, geçtiğimiz günlerde ortaya çıkan "Master key" açığından farklı da olsa aynı amaca ulaşmaya izin veriyor: Saldırganlar Android uygulama paketlerine (APK) onların dijital imzalarını bozmadan zararlı kod enjekte edebiliyorlar.

Android, herhangi bir uygulamayı ilk yüklediğinizde onun dijital imzasını kaydeder ve onun için bir sandbox oluşturur. Bundan sonraki tüm güncellemeler, uygulamanın bir başkası tarafından değiştirilmediğini doğrulamak üzere kriptografik olarak aynı geliştirici tarafından imzalanır. İmzalı uygulamaları değiştirebilmek ise kullanıcıların farkında olmadan sahte güncellemeler yüklemelerine yol açabilir. Bu ise sözkonusu uygulamanın depoladığı hassas verilere saldırganın erişmesi anlamına gelebilir.

Yeni açık, APK dosyalarında bulunan dosyaların üst bilgilerinde değişiklik yapmaya izin veriyor. Bu sayede imza doğrulama işlemi devre dışı bırakılabiliyor. Değiştirilebilen dosyanın classes.dex olarak adlandırıldığı söyleniyor. Saldırının gerçekleşebilmesi için hedef dosyaların 64KB'ın altında olması gerekiyor. Bu nedenle saldırının alanı bazen kısıtlı olabiliyor.

Bluebox Security'ye göre bu yeni açık, bir öncekine göre aynı etkiye sahip olabilse de daha az kapsamlı ve bazı kısıtlamalara sahip bir açık.

Google, henüz yeni açık hakkında herhangi bir açıklama yapmadı.