Исследовательская лаборатория Bluebox Labs сообщила о намерении раскрыть на конференции Black Hat, которая состоится 27 июля, детали необычной уязвимости в платформе Android, позволяющей формировать цифровые подписи верифицируемые первичным ключом платформы. По заявлению исследователей уязвимости подвержены 99% всех устройств на базе платформы Android.
С практической стороны, уязвимость позволяет внести изменения в APK-пакеты программ, без нарушения проверочной цифровой подписи, которая остаётся корректной и не сигнализирует об изменении начинки пакета (например, можно подставить в пакет троянскую вставку, но пакет не вызовет подозрений и будет выглядеть как созданный авторами приложения). Компания Google была информирована о выявленной проблемы в феврале. Проблема проявляется во всех ветках платформы, начиная с Android 1.6. В качестве наиболее опасного применения уязвимости называется возможность распространения фиктивных обновлений от имени производителя устройства, которые могут предоставить злоумышленнику полный контроль над аппаратом.
