Pár napja hírt adtunk arról, hogyan is vált rémálommá egy frissítés után a Barcode Scanner nevű, igen népszerű androidos app, ami egy alkalmazáson belül kínált QR-kód-olvasót és vonalkód-generátort. A hibára rábukkanó Malwarebytes szerint ezúttal nem az SDK cég volt a hibás, sokkal inkább az alkalmazásfejlesztő lehet ludas. A rosszindulatú kódot a decemberi frissítésbe szorították, és erősen elrejtették. A frissítést ugyanazzal a biztonsági tanúsítvánnyal írták alá, amit az alkalmazás korábbi, tiszta verzióiban is használtak.

Igen nagy blama volt mindez az app (vélt) tulajdonosa, a LavaBird Ltd. számára, hiszen a fentiek akár több millió androidos felhasználót is érinthettek, ráadásul a hír hamar elterjedt a neten. Éppen ezért, némi hallgatás után, a LavaBird levélben kereste meg a Malwarebytest. Mindenekelőtt világossá tette, hogy ők appokat fejlesztenek és értékesítenek, néha alkalmazásokat vásárolnak és adnak el. Ez utóbbi történt az inkriminált esetben is: nem a LavaBird volt az alkalmazás fejlesztője, hanem csupán közvetített egy eladó és egy vevő között. Ez utóbbi a The space team volt, azaz ő lett a gazdája a Barcode Scannernek. Csatoltak is egy képernyőképet fejlesztői számítógépükről (amelyen még megvolt az alkalmazás), és ezen látható az új tulajdonos neve.  A The space team hozzáférést kapott az alkalmazás Google Play konzoljához, és a LavaBird szerint ez a vállalkozás frissített, a rosszindulatúvá válás hozzájuk köthető.

Malwarebytes

A Malwarebytes ezután nyomozásba kezdett, és kiderítette, hogy az első, már rosszindulatú kódot tartalmazó (v1.67) verzió tulajdonosa még a LavaBird volt, és ezzel kapcsolatban meg is kereste őket. A vállalat azonnal magyarázattal szolgált erre is: az alkalmazás-aláíró kulcs még az eladás lezárta előtt a The space teamhez került. Némi magyarázat: az alkalmazás-aláírást a Google Play Store-ban lehet beállítani, amikor egy alkalmazás-fejlesztő először hoz létre egy alkalmazást, és azt fel akarja tölteni a digitális áruházba. Ebben a folyamatban a Google kulcspárt, egy nyilvános és egy magánkulcsot rendel ehhez.

Minden olyan alkalmazást, amelyet a Google Play áruházból mobileszközre telepítenek, nyilvános kulccsal írják alá. Amikor egy alkalmazásfejlesztő feltölti az alkalmazás újabb frissítését a Google Play áruházba, a hozzárendelt privát kulccsal aláírja. A mobileszközök pedig csak akkor fogadják el a már telepített alkalmazás frissítését, ha annak nyilvános kulcsa megegyezik a privát kulccsal. Ezzel lehet megakadályozni, hogy illetéktelenek egy privát kulccsal feltöltsék egy alkalmazás rosszindulatú verzióját.

Az alkalmazás aláíró kulcsának átruházása az alkalmazás tulajdonjogának átruházásakor a folyamat legitim része. Ezért tűnt a LavaBird számára elfogadhatónak a The space azon kérése, hogy ellenőrizné a privát kulcs működését egy frissítés feltöltésével a Google Play Store-ba. A LavaBird szerint ekkor történhetett meg a rosszindulatú kód becsempészése. Állítják, maguk is felháborodtak a történteken, és jelentették a The space team fiókot és a rosszindulatúvá vált alkalmazást a Google-nek.

Mint korábban már említettük, az alkalmazást azóta eltávolították a Google Play Store-ból. A Malwarebytes megpróbálta elérni a The space team formációt, de egyelőre nem sikerült választ kapniuk tőle. Azt a LavaBird is elismerte, hogy nem ellenőrizte a vevőt, viszont ami történt, az jó lecke volt számukra.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.