Отделение фирмы Bluebox Security, которая специализируется на безопасности ПО для мобильных гаджетов, обнаружило в ОС Android баг, влияющий на все релизы мобильной операционки, начиная с версии 1.6 Donut и выше. Используя уязвимость, злоумышленники могут создать приложение-троян и использовать его с какой угодно целью – от кражи данных до получения контроля над гаджетом.

С учетом того, что уязвимость присутствует в большом количестве релизов Android, под угрозой оказались владельцы 900 миллионов гаджетов. Баг позволяет изменить код файла .APK без повреждения криптографической подписи приложения. Другими словами, злоумышленники имеют возможность превратить подписанные приложения в трояны.

По словам представителей Bluebox, наиболее пристальному вниманию хакеров могут подвергнуться приложения, созданные производителями устройств, учитывая более высокий уровень их привилегированности. С их помощью злоумышленники могут получить доступ к другим приложениям и всей системе, а также ко всем связанным с ними данными.

В случае успеха хакера наиболее вероятны два исхода. Первый – получение доступа к сообщениям, электронной почте, любым документам на устройстве, паролям и фотографиям/изображениям. Более того, злоумышленник может сам отсылать сообщения и письма, делать звонки, фото и видео с помощью «захваченного» гаджета. Во втором случае из устройств, которые окажутся под контролем у злоумышленника, можно будет создать ботнет.

Bluebox сообщили обо всем Google в феврале. Чтобы решить проблему, производители гаджетов должны выпустить патч, который пользователи установят на своем устройстве. Больше информации фирма представит во время конференции Blackhat USA 2013, которая пройдет с 27 июля по 1 августа.