Компания Symantec распространила преcс-релиз, в котором рассказала о новой уязвимости платформы Android, позволяющей внедрить вредоносный код в легитимные приложения и при этом не нарушить их цифровую подпись.

По словам представителей корпорации, это означает, что даже опытные пользователи не смогут со стопроцентной вероятностью сказать, заражено приложение или нет.

Как известно, Android-приложения должны иметь цифровую подпись, которая удостоверяет неизменность кода разработчика. Также в этой системе используются разрешения на уровне приложений: пользователи должны сами разрешить приложению выполнение каких-либо операций. Цифровая подпись подтверждает неизменность кода предоставленных прав приложению.

Обнаруженная уязвимость в Android позволяет спрятать вредоносный код внутри легитимных приложений и, использовав предоставленные приложению права доступа, выполнить критически важные с пользовательской точки зрения действия.

В настоящее время информация об уязвимости доступна в Сети и воспользоваться ею очень легко. 

km.ru