Google начал блокировать доступ к своим службам с несертифицированных устройств

Компания Google начала отказывать несертифицированным устройствам в доступе к своим приложениям и сервисам.

Дело в том, что исходный код Android Open Source Project является бесплатным и опенсорсным, фактически, им могут пользоваться все желающие. Однако службы и официальные приложения Google (такие как Play Store, Gmail, Google Maps и так далее) «в комплект» не входят и свободными не являются. Google лицензирует эти приложения для производителей устройств, которые, в свою очередь, в ответ должны выполнить ряд требований компании. В частности, коллекция предустановленных приложений для Android должна поставляться только вся и полностью, приложения соответствовать определенным условиям размещения, а также само устройство, на которое приложения устанавливаются, должно соответствовать длинному списку требований к совместимости.

Производители, чьи устройства не прошли такую сертификацию, не имеют права использовать торговую марку Android и, по сути, работают с форками ОС Google. Наиболее известным форком такого рода можно назвать устройства компании Amazon (в частности, серию Kindle Fire). К тому же большинство китайских устройств тоже работают на базе форков Android.

И хотя официально приложения Google могут распространятся лишь в предустановленном на устройство виде, прямо «из коробки», они так же свободно доступны в сети, на множестве форумов, сайтах кастомных прошивок, сторонних каталогах приложений и так далее. Таким образом, при желании любой пользователь и даже производитель, не прошедший «сертификацию», может установить приложения Google на своё устройство.

С середины марта 2018 года разработчики Google начали бороться с таким поведением более агрессивно. Теперь попытка установить официальные приложения Google на несертифицированное устройство оборачивается ошибкой. Google попросту не позволяет залогиниться в свои службы во время установки, сообщая, что данное устройство не проходило сертификацию.



Вариантов решения проблемы пользователям предлагают немного, в сущности, рядовому юзеру остается лишь жаловаться производителю. Впрочем, как можно увидеть на иллюстрации выше, в самом низу сообщения все же есть опция для пользователей кастомных Android-прошивок. Google предлагает зарегистрировать такие устройства по адресу g.co/androiddeviceregistration привязав их к своему аккаунту Google. Правда для этого потребуется ввести уникальный идентификатор Android ID устройства, что, к сожалению, может стать проблемой для неподготовленных пользователей. Android ID устанавливается при первом запуске устройства и генерируется заново после сброса к заводским настройкам, представлен в шестнадцатеричном hex виде, и увидеть его можно лишь при помощи специальных утилит.

Вручную Google позволяет зарегистрировать максимум 100 устройств на одного пользователя.
  • +4
  • 05 апреля 2018, 07:49
  • mberkov
  • 2

Мобильные приложения ряда крупных банков уязвимы перед MitM-атаками

Исследователи из университета Бирмингема опубликовали доклад (PDF), в котором предупредили, что некоторые мобильные приложения крупных банков, как для iOS, так и для Android, представляют угрозу для пользователей.

Из-за проблемы, обнаруженной специалистами, уже были обновлены приложения банков HSBC, NatWest, Co-op, Santander, а также Allied Irish.

В своем докладе группа исследователей рассказала, что все проблемные приложение были уязвимы перед атаками man-in-the-middle (MitM) из-за проблемы в реализации механизма привязки сертификатов (certificate pinning). По сути, атакующие, находящиеся в той же сети, что и их жертва, могли перехватывать и дешифровать SSL-соединения, а вместе с ними банковские учетные данные (пароли, логины, PIN-коды), даже если в приложении реализован механизм SSL pinning, который должен напротив защищать от MitM-атак.

Специалисты пишут, что создали для проверки приложений специальный инструмент, получивший название Spinner. Инструмент использует в работе движок IoT-поисковика Censys.

Мобильные приложения ряда крупных банков уязвимы перед MitM-атаками

Тестирование показало, что из-за неверной реализации верификации имени хоста многие банковские приложения можно ввести в заблуждение: в сущности, они не проверяли, что соединяются с доверенным источником.

Кроме того, в приложениях банков Santander и Allied Irish была обнаружена уязвимость перед так называемым in-app фишингом. То есть злоумышленники имели возможность «подделать» часть экрана приложения и таким обманом выманить у пользователя учетные данные.