Google провоцирует MitM-атаки?

Согласитесь, сейчас бессмысленно обсуждать, имеет или не имеет компания Google моральное право на дистанционное удаление приложений, нарушающих дистрибьюторское соглашение между разработчиком и Android Market, из вашего смартфона! Ясно одно: если Google может удалить неугодную программу, то таким же образом может совершить обратный маневр, то есть установить какую-либо программу на ваш аппарат без вашего согласия! Теоретически наличие такой функции может иметь далеко идущие последствия, например, приводящие к нарушению безопасности пользователя, так как злоумышленник, воспользовавшись данной лазейкой сможет без труда осуществить MitM-атаку.

На прошлой неделе по всему миру разлетелась новость о том, что Google воспользовалась своим правом и дистанционно удалила два бесплатных приложения, построенных неким разработчиком в чисто научных целях и намеренно исказившего информацию о них для поощрения пользовательских загрузок. Эти приложения не могли были быть использованы со злым умыслом, не открывали доступа к каким бы то ни было закрытым данным или системным ресурсам, по сути, это были абсолютно бесполезные программы, которые большинство пользователей удаляло сразу после загрузки. 

Согласно сообщению, разработчик этих приложений добровольно удалил их из Android Market, после чего Google решила осуществить свое право на дистанционное уничтожение всех установленных копий программ с Android-устройств. Эта функция четко закреплена в пункте 2.4 соглашения Android Market Terms of Service, в котором черным по белому написано о том, что компания оставляет за собой право использовать такую возможность без предварительного уведомления пользователя.

Однако на практике все мы знаем, что большинство из нас никогда не читает лицензионных соглашений, не имея ни малейшего представления об условиях предоставления услуг или иных документах, в которых закреплены те или иные права и обязанности обеих сторон. Поэтому значительное число людей было удивлено и возмущено, узнав о подобной возможности, которой компания не преминула воспользоваться. В блогсфере все дебаты сводились к обсуждению этических аспектов данной акции, нарушающей право пользователя на конфиденциальность.

В ответ на эти опасения, исследователь в области безопасности Джон Оберхайд отмечает то, что по сути  Google может не только удалить, но и установить приложения таким образом! «Если кто-то расстроен тем, что Google сохраняет за собой право удаленно убивать приложения (лично я предпочитаю потенциальные выгоды от подобной функциональной безопасности), я боюсь того, что они подумают, узнав о функции INSTALL_ASSET», - пишет он.

INSTALL_ASSET – это команда, подаваемая на смартфон через активное соединение с GTalkService, которая используется для установки программ, выбранных пользователем в каталоге Android Market. Обратная команда REMOVE_ASSET, подаваемая от сервера к смартфону для удаления приложений, используется Google только в экстренных случаях, в то время как INSTALL_ASSET, осуществляющая связь с серверами, отправляется довольно часто. Эта особенность может привести к злоупотреблениям со стороны злоумышленника, если ему удастся подключиться к каналу и вмешаться в протокол передачи данных. В этом случае пользователь Android-устройства может получить вместо ожидаемого приложения вредоносный код и установить его, ошибочно полагая, что команда INSTALL_ASSET пришла от сервера Google. Такой вид атаки называется MitM, то есть Man-in-the-Middle.

«Если злоумышленник вклиниться в SSL-соединение или взломает GTalkService-серверы, он сможет подделать команды INSTALL_ASSET для доставки вредоносных приложений. В таком случае вредоносное воздействие может принять довольно крупные масштабы», - делает вывод исследователь.

Такое предположение выглядит вполне реалистично, так что если до сих пор подобных акций не произошло, то это всего лишь вопрос времени.