szerző:
hvg.hu
Tetszett a cikk?

Egy frissítés után rosszindulatúvá vált egy korábban igen népszerű QR-kód-olvasó alkalmazás. Az appal összefüggésbe hozott vállalat világossá tette, nem őket kell okolni a problémáért.

Pár napja hírt adtunk arról, hogyan is vált rémálommá egy frissítés után a Barcode Scanner nevű, igen népszerű androidos app, ami egy alkalmazáson belül kínált QR-kód-olvasót és vonalkód-generátort. A hibára rábukkanó Malwarebytes szerint ezúttal nem az SDK cég volt a hibás, sokkal inkább az alkalmazásfejlesztő lehet ludas. A rosszindulatú kódot a decemberi frissítésbe szorították, és erősen elrejtették. A frissítést ugyanazzal a biztonsági tanúsítvánnyal írták alá, amit az alkalmazás korábbi, tiszta verzióiban is használtak.

Igen nagy blama volt mindez az app (vélt) tulajdonosa, a LavaBird Ltd. számára, hiszen a fentiek akár több millió androidos felhasználót is érinthettek, ráadásul a hír hamar elterjedt a neten. Éppen ezért, némi hallgatás után, a LavaBird levélben kereste meg a Malwarebytest. Mindenekelőtt világossá tette, hogy ők appokat fejlesztenek és értékesítenek, néha alkalmazásokat vásárolnak és adnak el. Ez utóbbi történt az inkriminált esetben is: nem a LavaBird volt az alkalmazás fejlesztője, hanem csupán közvetített egy eladó és egy vevő között. Ez utóbbi a The space team volt, azaz ő lett a gazdája a Barcode Scannernek. Csatoltak is egy képernyőképet fejlesztői számítógépükről (amelyen még megvolt az alkalmazás), és ezen látható az új tulajdonos neve.  A The space team hozzáférést kapott az alkalmazás Google Play konzoljához, és a LavaBird szerint ez a vállalkozás frissített, a rosszindulatúvá válás hozzájuk köthető.

©

A Malwarebytes ezután nyomozásba kezdett, és kiderítette, hogy az első, már rosszindulatú kódot tartalmazó (v1.67) verzió tulajdonosa még a LavaBird volt, és ezzel kapcsolatban meg is kereste őket. A vállalat azonnal magyarázattal szolgált erre is: az alkalmazás-aláíró kulcs még az eladás lezárta előtt a The space teamhez került. Némi magyarázat: az alkalmazás-aláírást a Google Play Store-ban lehet beállítani, amikor egy alkalmazás-fejlesztő először hoz létre egy alkalmazást, és azt fel akarja tölteni a digitális áruházba. Ebben a folyamatban a Google kulcspárt, egy nyilvános és egy magánkulcsot rendel ehhez.

Minden olyan alkalmazást, amelyet a Google Play áruházból mobileszközre telepítenek, nyilvános kulccsal írják alá. Amikor egy alkalmazásfejlesztő feltölti az alkalmazás újabb frissítését a Google Play áruházba, a hozzárendelt privát kulccsal aláírja. A mobileszközök pedig csak akkor fogadják el a már telepített alkalmazás frissítését, ha annak nyilvános kulcsa megegyezik a privát kulccsal. Ezzel lehet megakadályozni, hogy illetéktelenek egy privát kulccsal feltöltsék egy alkalmazás rosszindulatú verzióját.

Az alkalmazás aláíró kulcsának átruházása az alkalmazás tulajdonjogának átruházásakor a folyamat legitim része. Ezért tűnt a LavaBird számára elfogadhatónak a The space azon kérése, hogy ellenőrizné a privát kulcs működését egy frissítés feltöltésével a Google Play Store-ba. A LavaBird szerint ekkor történhetett meg a rosszindulatú kód becsempészése. Állítják, maguk is felháborodtak a történteken, és jelentették a The space team fiókot és a rosszindulatúvá vált alkalmazást a Google-nek.

Mint korábban már említettük, az alkalmazást azóta eltávolították a Google Play Store-ból. A Malwarebytes megpróbálta elérni a The space team formációt, de egyelőre nem sikerült választ kapniuk tőle. Azt a LavaBird is elismerte, hogy nem ellenőrizte a vevőt, viszont ami történt, az jó lecke volt számukra.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

VELETEK VAGYUNK – OLVASÓKKAL, ÚJSÁGÍRÓKKAL!

A hatalomtól független szerkesztőségek száma folyamatosan csökken, a még létezők pedig napról napra erősödő ellenszélben próbálnak talpon maradni. A HVG-ben kitartunk, nem engedünk a nyomásnak, és minden nap elhozzuk a hazai és nemzetközi híreket.

Ezért kérünk titeket, olvasóinkat, hogy tartsatok ki mellettünk, támogassatok bennünket, csatlakozzatok pártolói tagságunkhoz, illetve újítsátok meg azt!

Mi pedig azt ígérjük, hogy továbbra is minden körülmények között a tőlünk telhető legtöbbet nyújtjuk a számotokra!
Kiléptetné Németországot az unióból az AfD

Kiléptetné Németországot az unióból az AfD

Hat prostituált megtámadásával gyanúsít a rendőrség egy külföldi férfit

Hat prostituált megtámadásával gyanúsít a rendőrség egy külföldi férfit

Tarolt A nomádok földje a BAFTA-díjkiosztón, Vanessa Kirby nem nyert

Tarolt A nomádok földje a BAFTA-díjkiosztón, Vanessa Kirby nem nyert