МТС Мобільна Пошта” замість Samsung Social Hub як це могло статися

"МТС Мобільна Пошта" замість Samsung Social Hub: як це могло статися

Подробиці про сценарії оновлень та параметри, через які виник даний баг.

пошта

  1. Додаток, що оновлюється, повинен бути підписаний так само, як і існуюча копія. Вимоги до підписів мають вирішувати проблему випадкового вибору незалежними розробниками однакових імен пакетів;
  2. Параметри versionCode та versionName для оновлення повинні мати більші значення, ніж у існуючої програми;
  3. Ще один рубіж, що обмежує зловмисний код від отримання привілеїв - те, що функція автоматичного оновлення Google Play завантажує нові версії, тільки якщо нова програма не вимагає більших повноважень, ніж попередня.

Certificate: Data: V ersion: 3 (0x2) Serial Number: 1235473566 (0x49a3d49e) S ілюстрація Algorithm: sha1WithRSAEncryption I ssuer: C=US, , L=Redwood City, O=Seven Networks, OU=Seven Networks, CN=Seven Networks V alidity N ot Before: Feb 24 11:06:06 2009 GMT N ot After: Jul 12 11:06:06 2036 GMT Subject: C=US, ST=California, L=Redwood City, O=Seven Networks, OU=Seven Networks, CN=Seven Networks

В іншому, використання тієї ж назви пакета недостатньо, щоб стати оновленням іншого, не пов'язаного з ним програми. Але в цьому випадку ключ підпису для програми МТС теж збігся. Розробник-аутсорсер випадково використовував той самий підпис, а також назву пакета для двох своїх продуктів: одного для Samsung, а другого для МТС.

І цікаво, що згідно з записами Symantec, програма 'com.sevenZ7' була доступна через Android Market з кінця 2011 року. Але проблема виникла тільки зараз, тому що номери версії досягли значень,перевершують версію програми Samsung – а це є останнім ключовим критерієм виконання оновлення.

G oogle вже відреагувала на інцидент, програма більше не може бути завантажена через Google Play.