W lutym tego roku Google wprowadziło program Bouncer (selekcjoner), mający zabezpieczyć użytkowników Androida przed złośliwym oprogramowaniem. Znaleźli się jednak badacze, którzy ominęli zabezpieczenia giganta z Mountain View.
Google nie poszło ścieżką wydeptana przez Apple i postanowiło trzymać się zasady jak najszybszego przyjmowania aplikacji do swojego sklepu. Wymagało to oczywiście stworzenia odpowiednich mechanizmów zabezpieczających. Oprócz skanowania zgłoszonych aplikacji pod kątem znanych fragmentów złośliwego kodu, proces obejmuje również analizę zachowania aplikacji w symulowanym środowisku. Ten właśnie etap zainteresował dwóch analityków, zajmujących się kwestiami bezpieczeństwa aplikacji mobilnych, Charlie Millera i Jona Oberheide.
Miller i Oberheide jako cel postawili sobie wyprodukowanie złośliwej aplikacji, która nie zostanie wykryta przez Bouncera. W tym celu musieli najpierw poznać dobrze swojego przeciwnika. Po założeniu kilku fałszywych kont Google osiągnęli pierwszy sukces – wysłali do Bouncera aplikację, która wykonując połączenie zwrotne do ich serwera dała im… zdalną powłokę na środowisku emulującym zachowanie telefonu z Androidem. Dzięki temu mogli dobrze poznać system przeprowadzający analizę.
Badacze szybko odkryli, że aplikacje uruchamiane są w środowisku emulatora oraz wykonują połączenia z określonej klasy adresowej. Te informacje pozwoliły im na stworzenie złośliwej aplikacji, która potrafiła oszukać system Google’a i przejść poprawnie weryfikację, zachowując się grzecznie w środowisku testowym, by po dotarciu na telefony klientów sklepu Google’a zmienić swoje zachowanie.Przy okazji odkryli także metodę wysłania aplikacji do systemu bez podawania numeru karty kredytowej, dzięki czemu potencjalni ich naśladowcy mogą testować system Google’a bez tracenia kolejnych numerów kart płatniczych.
O swoich odkryciach poinformowali Google, jednak, jak podkreślają, niektóre ze zidentyfikowanych przez nich problemów mogą okazać się bardzo trudne do usunięcia. W tym tygodniu Miller i Oberheide pokażą wyniki swojej pracy na konferencji SummerCon w Nowym Jorku, a krótko po wystąpieniu opublikują pełną prezentację. Bez wątpienia będzie ona ciekawą lekturą dla wszystkich autorów złośliwego oprogramowania na platformy mobilne.