Китайский исследователь обнаружил еще одну возможность модификации установленных приложений для Android без изменения их сигнатур.

Оба способа дают злоумышленникам возможность обмануть пользователей, подсунув им под видом обновлений для установленных на устройстве программ собственные вредоносные модификации. Если измененными окажутся системные приложения, то вредоносный код может быть выполнен даже с системными правами доступа.

Способ заключается во вставке кода в заголовки некоторых файлов, находящихся в подписанном электронной подписью пакете приложения для Android. Из-за ошибки в процедуре проверки электронной подписи вставки, сделанные описанным способом, не учитываются при подсчете сигнатуры файла. Впрочем, размер изменяемого файла не может превышать 64 Кбайт, что несколько ограничивает область применения метода.

Исследователи Bluebox Security подтверждают работоспособность опубликованного в китайском блоге метода. Впрочем, указывают они, существует и более тонкий метод обхода проверки сигнатур, о котором они уже сообщили в Google. Выпущенное исправление для версии Android с открытым кодом устраняет все уязвимости.