BlackBerry łata lukę w urządzeniach działających pod kontrolą systemu BlackBerry 10. Wykryta podatność pozwala na przechwycenie ruchu użytkownika „z, oraz do” sklepu z aplikacjami BlackBerry World i instalację złośliwego oprogramowania na podatnym urządzeniu.
Na atak podatna jest część systemu odpowiedzialna za sprawdzanie integralności i kompatybilności pobieranych apek. W momencie, gdy atakujący jest w stanie przeprowadzić atak man-in-the-middle, pomiędzy użytkownikiem a BlackBerry World może dojść do podmiany aplikacji pochodzącej ze sklepu na malware. BlackBerry informuje, że usterka dotyczy wyłącznie urządzeń z systemem BlackBerry 10 i zaleca jak najszybszą instalację najnowszej wersji aplikacji BlackBerry World.
„Istnieje luka w mechanizmie pobierania aplikacji z BlackBerry World na urządzeniach z BlackBerry 10. BlackBerry World pozwalana na wyszukiwanie i pobieranie aplikacji na urządzenia BlackBerry. BlackBerry World posiada system sprawdzania integralności aplikacji i metodę bezpiecznego pobierania, które mają zapewnić, że aplikacja zostanie prawidłowo pobrana i zainstalowana”, informuje doradca BlackBerry.
W niektórych przypadkach, niedopracowanie tych metod w połączeniu z atakiem man-in-the-middle może pozwolić atakującemu na przechwycenie pobieranej aplikacji i w rezultacie zainstalowanie złośliwego oprogramowania na urządzeniu. Udane wykorzystanie luki pozwala atakującemu na uzyskanie dostępu do danych i ustawień, które są dostępne na podstawie uprawnień, jakie podczas instalacji użytkownik zaakceptuje dla danej aplikacji.
Luka dotyczy oprogramowania w wersji 10.2, 10.2.1 oraz 10.3 z aplikacją BlackBerry World. Jak podaje producent, komunikacja użytkownika z BlackBerry World odbywa się teraz z wykorzystaniem protokołu SSL, który pomaga w ochronie przed atakami man-in-the-middle.
źródło: threatpost
