Bluebox, compania care a descoperit breşa de securitate Master Key în vara anului trecut, a dezvăluit existenţa unei alte vulnerabilităţi Android care poate fi speculată pentru instalarea de malware si accesul nestingherit la datele din cadrul altor aplicaţii. Breşa Fake ID a apărut încă de la versiunea 2.1 a sistemului de operare Android, s-a propagat până la versiunea 4.4 şi, chiar dacă Google a lansat actualizări şi a implementat măsuri de siguranţă, unele telefoane Android sunt încă vulnerabile.
Vulnerabilitatea Fake ID a fost descoperită în cadrul rutinelor software care validează certificatele digitale cu care sunt semnate aplicaţiile Android. Deşi ar trebui să o facă, sistemul de operare Android nu verifică autenticitatea certificatelor digitale, iar această deficienţă le permite creatorilor de aplicaţiile malware să folosească certificate false care pretind că au fost emise de companiile autorizate. Deoarece aceste certificate digitale sunt folosite uneori şi pentru validarea accesului la anumite module software protejate, creatorii de malware pot impersona aplicaţii legitime şi pot obţine acces la date sensibile.
Problema se pare că a apărut odată cu acordarea unor drepturi de acces lărgite aplicaţiilor Adobe certificate, această măsură fiind utilă deoarece permite accesarea platformelor Flash şi AIR din cadrul oricărei aplicaţii. Această metodă de evadare din cadrul mediului virtualizat al fiecărei aplicaţii Android a fost utilizat ulterior şi de alte produse de securitate sau management, iar malware-ul care foloseşte această breşă de securitate poate impersona aplicaţiile vizate pentru a avea acces la datele lor sau pentru a specula drepturilor lor de acces lărgite. Această problemă este agravată de faptul că aplicaţiile Android pot purta mai multe certificate de securitate, un eventual atacator putând specula mai multe metode de acces cu un singur produs software infectat.
Bluebox afirmă că Google a fost înştiinţată de această problemă în luna aprilie a acestui an, iar compania a lansat deja actualizări pentru platformele Android 4.0 – 4.4. Aceste actualizări trebuie însă implementate de către producătorii de telefoane, ceea ce înseamnă că unele produse pot folosi cod încă vulnerabil. Google a anunţat că atât scannerul online Bouncer din Google Play cât şi scannerul local Verify Apps au fost actualizate pentru a detecta aplicaţiile care încearcă să speculeze Fake ID, însă cei care instalează aplicaţii din terţe surse şi au oprit serviciul local de scanare sunt vulnerabili.
Google afirmă că nu a descoperit în magazinul Play nici o aplicaţie care foloseşte această breşă de securitate. Aplicaţia Bluebox Security Scanner a fost actualizată pentru a recunoaşte şi această vulnerabiltiate, utilizatorii putând verifica astfel dacă producătorul telefonului a integrat deja actualizările Google.