V Samsung Androidoch zahanbujúca zraniteľnosť, aplikácie si samé vedia zabezpečiť roota

DSL.sk, 17.12.2012

Spoločnosť Samsung má v jadre Androidu na svojich vlajkových Android zariadeniach nepochopiteľnú triviálnu bezpečnostnú zraniteľnosť, ktorá umožňuje ľubovoľným aplikáciám získať plné oprávnenia a tak napríklad získať citlivé dáta užívateľa, zneužiť jeho dáta a SIM ale tiež znefunkčniť zariadenie.

Na zraniteľnosť cez víkend upozornil na fóre xda-developers.com užívateľ alephzain.

Zraniteľnosť sa vyskytuje na zariadeniach s procesorom Samsung Exynos 4 a podľa dostupných informácií sa nachádza minimálne v Galaxy S III, Galaxy S II a Galaxy Note II.

Na týchto mobilných zariadeniach je k dispozícii linuxové zariadenie /dev/exynos-mem, ktoré umožňuje priamo čítať a zapisovať do fyzickej pamäte obsadenej jadrom každému linuxovému účtu bez akýchkoľvek špeciálnych prístupových práv. exynos-mem tak môže využiť ľubovoľná aplikácia nainštalovaná na Android zariadení bez akýchkoľvek špeciálnych Android oprávnení.

Podľa zistení vývojárov na xda-developers.com používa Samsung exynos-mem okrem iného pre zabezpečenie funkčnosti fotoaparátu a po obmedzení prístupových práv k tomuto zariadeniu štandardná aplikácia pre fotenie nevie získať dáta z fotoaparátu.

Keďže aplikácie v Google Play obchode stále nie sú dostatočne účinne kontrolované na prítomnosť škodlivého kódu a škodlivé aplikácie schopné získať kompletnú kontrolu nad zariadením využívajúce túto zraniteľnosť nevyžadujú žiadne špeciálne Android oprávnenia, zraniteľnosť je mimoriadne nebezpečná a aplikácie schopné ju zneužiť si môžu bez povšimnutia nainštalovať aj pozornejší užívatelia.

Navyše zraniteľnosť môže byť potenciálne využitá aj pri útokoch cez web cez menej závažné zraniteľnosti v prehliadači alebo potenciálne cez iné vektory vstupu škodlivého kódu do Android zariadení.

Vývojári na xda-developers.com publikovali dodnes už tri aplikácie umožňujúce opraviť zraniteľnosť zákazom prístupu k /dev/exynos-mem respektíve umožňujúce tento prístup pre funkčnosť fotoaparátu flexibilne dočasne povoliť. Kedy vydá Samsung nové verzie firmvéru opravujúce zraniteľnosť nie je zatiaľ známe.




Najnovšie články:



Diskusia:

dnes má meniny Kornélia Od: prihlásený užívateľ | Pridané: 17.12.2012 10:39 posielam kvety developerom v samsungu. v dobrom samozrejme. Odpovedať Známka: 0.6 Hodnotiť:

jdgjadg Od: ghjadgjadg | Pridané: 17.12.2012 10:39 wow, naozaj dost nepochopitelne. Odpovedať Známka: 7.3 Hodnotiť:

Re: jdgjadg Od: looler | Pridané: 17.12.2012 11:13 Co je na tom nepochopitelne? Ze ludia robia chyby? Co mrkvosoft a jeho bezpecnostne zaplaty? Alebo Sony a ich hacknute PSN? Vsade su bezpecnostne diery, vacsie ci mensie.. Ja naopak nechapem, ze nieco bezne ako bezpecnostna zranitelnost v dnesnej dobe este niekoho prekvapuje :) Odpovedať Známka: -4.4 Hodnotiť:

Re: jdgjadg Od reg.: _Kozec_ | Pridané: 17.12.2012 13:04 Lenze toto je dost hlupa chyba. Cloveku, co toto kvoli foteniu spristupnoval muselo byt jasne, ze tym otvara nie zadne dvierka, ale vrata jak do stodoly a zrejme sa spoliehal len na to, ze si ich nikto nevsimne. Odpovedať Známka: 9.3 Hodnotiť:

Re: jdgjadg Od: szaga72 | Pridané: 17.12.2012 13:28 No ak platis kreditou za nejaku aplikaciu tak si to mozes hodit lebo ti vycistia ucet. Samozrejme na slovensku to nehrozy okrem bratislavcanou co zarabaju 3x viac ako ostatny slovaci..... Odpovedať Známka: -7.4 Hodnotiť:

Re: jdgjadg Od: 27agazs | Pridané: 17.12.2012 13:56 *nehrozi, *bratislavcanov, *ostatni Keby si menej zavidel a viac sa sustredil na svoj pisomny prejav Odpovedať Známka: 8.3 Hodnotiť:

Re: jdgjadg Od: jojuihouh | Pridané: 17.12.2012 19:01 To ze priemer platu je vyssi v BA neznemena ze tu obycajny clovek zarobi viac, skor to znamena ze je najvyssia koncentracia tych najbohatsich, ktory zvysuju priemer. Keby povedali median platov to by boli ine cisla... Odpovedať Známka: 6.4 Hodnotiť:

Re: jdgjadg Od: SeppWinkler | Pridané: 18.12.2012 8:42 V Bratislave, kde zarobí najviac luza z celého Slovenska a kde slušní Bratislavčania už nemajú kde žiť. Áno, máš pravdu. Odpovedať Známka: -2.0 Hodnotiť:

samsung Od: provokátor | Pridané: 17.12.2012 10:49 No čo? Aj majster tesár si utne. :-) Odpovedať Známka: -1.6 Hodnotiť:

Re: samsung Od: XMen | Pridané: 17.12.2012 11:01 ale je rozdiel utnut si do ruky alebno si odtat hlavu Odpovedať Známka: 8.3 Hodnotiť:

Re: samsung Od reg.: cca01 | Pridané: 17.12.2012 14:15 Tentoraz si tesár neuťal prsty ale pretiahol sekerou rovno svoje vlajkové lode ako ich tak držal v ľavej ruke a v pravej ruke sekeru. :D Odpovedať Známka: 8.5 Hodnotiť:

klasicky mobil Od: hgtrdesw | Pridané: 17.12.2012 10:59 mne stacia na mobile iba dve funkcie a to telefon a sms nikdy som nepotreboval viac aj ked mapy by sa zisli, no ale ako tak citam a nesudim len z tohto clanku, tak mi je aj trosku luto ze android je takz deravy, podla mna ani ine mobilne OS na tom lepsie nebudu co sa tyka ochrany osobnych udajov ktore do toho telefonu sami vlozite ... Odpovedať Známka: -5.3 Hodnotiť:

Re: klasicky mobil Od: megatron9000 | Pridané: 17.12.2012 11:04 asi si to cele nedocital. Kde je napisane, ze android je deravy ? To ze tam vyvojari samsungu sposobia dieru nema s androidom nic spolocne ;) Odpovedať Známka: 6.4 Hodnotiť:

Re: klasicky mobil Od: Alino  | Pridané: 17.12.2012 11:07 tak tak, to je ako keby si povedal ze ludsky mozog je deravy. V skutocnosti iba jeho mozog je deravy, jeho instancia objektu zvany ludsky mozog, ale nie vseobecne. Odpovedať Známka: 8.2 Hodnotiť:

Re: klasicky mobil Od: kraken0000 | Pridané: 17.12.2012 11:14 OOP ? :D Odpovedať Známka: 7.5 Hodnotiť:

Re: klasicky mobil Od: dfhdfh | Pridané: 17.12.2012 11:27 oop--oop-oop-oop-oop----oopa gangham style :D Odpovedať Známka: 6.8 Hodnotiť:

Re: klasicky mobil Od: mňáááááu | Pridané: 17.12.2012 11:38 ganja Odpovedať Známka: -1.0 Hodnotiť:

Re: klasicky mobil Od: etryertyer | Pridané: 17.12.2012 13:04 daj si facku Odpovedať Známka: -4.0 Hodnotiť:

Re: klasicky mobil Od: chocholusik2 | Pridané: 18.12.2012 8:48 daj si dve Odpovedať Známka: 6.0 Hodnotiť:

Re: klasicky mobil Od: d3? | Pridané: 18.12.2012 9:49 and then we doubled it... Odpovedať Známka: 5.0 Hodnotiť:

Re: klasicky mobil Od: ASD_ | Pridané: 17.12.2012 12:20 Android je deravy. Staci trocha citat po nete. Tych dier je tam stale dost a nemam pocit, ze by vyrazne ubudali. Ale to je v kazdom OS. Mnozstvo objavenych dier je umerne rozsireniu na trhu. Pre OS s 2% nik nebud plytvat casom. Pre OS s >50% to uz stoji za to. Odpovedať Známka: 7.1 Hodnotiť:

Re: klasicky mobil Od: Alino  | Pridané: 17.12.2012 11:04 uz ma unavuju tyto paprdovia co furt pisu mne staci telefonovat a sms. Mne staci trtkat moju jaskynnu zenu ked si dam dole moje tigrie slipy... Odpovedať Známka: 6.7 Hodnotiť:

Re: klasicky mobil Od: .em | Pridané: 17.12.2012 11:52 ... a tlacis jej do diery svoje Trojany? len pozor aby v nich nebola tiez diera... bezpecnostna. :) Odpovedať Známka: -3.3 Hodnotiť:

Re: klasicky mobil Od: Neviem | Pridané: 17.12.2012 12:16 No vidíš aká si socka. Keby si mal eplácke slipy leopard, tak by si si ich pred trtkaním jaskynnej ženy nemusel dávať dole, lebo majú už v základnej verzii "vadžajna rekognišn", po slovensky "rozpoznávanie jaskyne" a padajú sami od seba. Odpovedať Známka: 8.5 Hodnotiť:

Re: klasicky mobil Od: netload | Pridané: 17.12.2012 13:26 sa smejem ako pes to čo si zabil :D Odpovedať Známka: 0.0 Hodnotiť:

Re: klasicky mobil Od: chocholusik2 | Pridané: 18.12.2012 8:49 A ty si čo? Generátor náhodných slov? Odpovedať Známka: 8.2 Hodnotiť:

Re: klasicky mobil Od: Alino  | Pridané: 17.12.2012 14:53 ale ako pan vyssie ktory nechce smartphone, chce len telefonovat a pisat sms, tak ja nechcem smartslipy, chcem iba davat dole slipy a trtkat. Odpovedať Známka: 7.0 Hodnotiť:

Re: klasicky mobil Od: ________________._-_.__________ | Pridané: 19.12.2012 12:40 Ale ved ty predsa na svojom smartfoune robis same zivotne dolezite veci bez ktorych by si tazko prezil, tak si nakontaktuj nejaku podobne ladenu buznu s 5" clearblack otvorom cez socialnu siet, ale az po nabiti a aktualizovani fw Odpovedať Hodnotiť:

Re: klasicky mobil Od: BlazejD | Pridané: 17.12.2012 11:12 Podla clanku sa nejedna o Android ako taky ale o modifikaciu, ktoru urobil Samsung. Inak ja som rad, ze mam na telefone aj fotak, ze mozem browsovat a pozriet si napriklad odchody autobusov, pocet knih ktore som precital na mobile je niekolko desiatok no a email a chat tiez nie su na skodu. Prilezitostne este SIP klient na volanie...takze sa da toho vyuzit imho hodne. A samozrejme aj ta online navigacia ktora ma parkrat odnavigovala mimo nehodu na dialnici (iduc lokalke popri dialnici som len videl kolonu na nej). To s tou bezpecnostou je pravda, najskor kazde zariaenie ma nejaku "dieru". Odpovedať Známka: 8.0 Hodnotiť:

samsung Od: ppq | Pridané: 17.12.2012 11:31 by mal zacat nakupovat iphony a predavaj ako galaxy. Odpovedať Známka: -1.7 Hodnotiť:

Re: samsung Od: ING | Pridané: 18.12.2012 9:24 samsung galaxy iphone :D ale ved to su vlastne vsetky Odpovedať Známka: 0.0 Hodnotiť:

google Od reg.: ujo horar | Pridané: 17.12.2012 13:53 Kedy uz bude moct google konecne aktualizovat telefony vsetkych moznych znaciek pokial tam bezi ich Android ? Odpovedať Známka: 2.5 Hodnotiť:

Re: google Od reg.: cca01 | Pridané: 17.12.2012 14:18 Treba kupovať iba tie Androidy s názvom Nexus... Odpovedať Známka: 4.5 Hodnotiť:

Re: google Od: duster | Pridané: 17.12.2012 15:25 myslis tie lowend sunky... Nie! dakujem.... neprosim! Odpovedať Známka: -6.9 Hodnotiť:

Re: google Od: ASD_ | Pridané: 17.12.2012 17:14 Kolega ma Nexus. Google sa chvali rychlim vydavanim novych verzii, ale zabudol dodat, ze nie pre vsetky vyrobne serie, na tu jeho sa vykaslali uplne. Musel to rootnut. Odpovedať Známka: 6.7 Hodnotiť:

gramaticka chyba Od: grammar | Pridané: 17.12.2012 16:10 Vynechali ste ciarku pred "ale", a nie je to prvy pripad. Je to otravne. Prosim, dbajte na gramaticku korektnost clankov. "a SIM, ale tiež" Odpovedať Známka: 5.0 Hodnotiť:

http://www.burberrycanadaoutlet.info Od: burberry coat | Pridané: 19.12.2012 9:07 Think it as being a journal as well as a magazine involving general interest proper to read. Funny, witty, controversial, entertaining, useful, acerbic, thoughtful, serious, curious, unexpected comebacks are actually welcome. Odpovedať Hodnotiť:

Bumerang Od: mylankooo | Pridané: 17.12.2012 16:31 Presne preto sa neoplati vyuzivat chyby ostatnych na vlastnu propagaciu, ako to nedavno spravil Samsung, ked sa smial z Apple map (btw. celkom vtipna reklama) Chyby robi kazdy..presli dva dni a skusili si to na vlastnej kozi.. teda ak nepocitam, ze par tyzdnov dozadu sa na ich telefonoch dal spravit factory reset cez SMS, NFC... Kazdy nadava, aky je iOS uzavrety system, no Samsungy su na moj vkus otvorene az prilis :) Odpovedať Známka: 4.5 Hodnotiť:

...a máte čo ste chceli... Od: L.P.CH. | Pridané: 17.12.2012 18:07 android je shit - a to od začiatku...Nikoho nenapadlo čo tým google sleduje (snaha stať sa globálnym "pánom" internetu a mať všetko pod kontrolou). Dnes vymyslím androida a zajtra ho do nebies budem (to deravé rešeto) chváliť. Bezpečnostný precedens sa už konal, keď v samotnom android markete ponúkali zavírené aplikácie; aplikácie , ktoré bez vedomia a povolenia užívateľa bežali na pozadí; o spotrebe sa ani nebudem zmieňovať.. Samsung mom. zažíva veľký boom, ale pozor - rýchly vzostup predznamenáva rýchly pád...a to Vám Nokia popd fúz nevoniala... Odpovedať Známka: -1.0 Hodnotiť:

Re: ...a máte čo ste chceli... Od: Jamicon | Pridané: 17.12.2012 19:38 Nuž, vždy je lepší android ako nejaký M$ winshit a je úplne jedno či ide o mobil, server alebo aj desktop. Server s metroshit musí byť pre každého admina úplná bomba. Našťastie ním nie som. Odpovedať Známka: -2.7 Hodnotiť:

Re: ...a máte čo ste chceli... Od: ING | Pridané: 18.12.2012 9:24 pod1a toho co si napisal ani nikdy nedudes, k tomu treba totiz inteligenciu, ktoru ty nemas... PS: admin si nekupi open source system, ktory je deravejsi ako W3,11 Odpovedať Známka: -2.0 Hodnotiť:

Re: ...a máte čo ste chceli... Od: axiom | Pridané: 17.12.2012 21:45 well, well, well... samsung bol vzdy znamy dobrym hw a mizernym sw. takze nejake bezpecnostne problemy nikoho ani neprekvapuju. co sa ale celkovo bezpecnosti tyka, existuje aj android disto specialne usposobene pre trojpismenkove agentury a spolocnosti, ktore potrebuju trocha viac bezpecnosti ako bezny franta uzivatel. takze, v principe - ako si toho droida spravis, tak ho aj mas. a ver mi, aj ten najlepsi system sveta je len tak dobry, ako osoba, ktora ho dostane do ruk :D Odpovedať Známka: 0.0 Hodnotiť:

Re: ...a máte čo ste chceli... Od: hzhzhz | Pridané: 17.12.2012 23:08 Aha. Takze vsetci uzivatelia v statistikach si na toto kupuju svoj android Odpovedať Známka: -2.0 Hodnotiť:

Re: ...a máte čo ste chceli... Od reg.: .H4wk | Pridané: 18.12.2012 9:11 Agentury a velke sposlocnosti prave dostavaju Apple zariadenia trdlo :D Odpovedať Známka: 0.0 Hodnotiť:

Re: ...a máte čo ste chceli... Od: PrestanDavatPiko | Pridané: 18.12.2012 11:17 Samsung bol vzdy znamy dobrym hw a mizernym sw, hej, dobre no. Ty ci zeres? Mal som (a nielen ja) samsung kramy v ruke ktore by som po psovi nehodil! Ci uz naprd kazovy, obmedzeny hw alebo primitivny sw. A neboli to len smartphony, ale aj dumb, fotaky.. Odpovedať Známka: -1.1 Hodnotiť:

Re: ...a máte čo ste chceli... Od: Tup | Pridané: 18.12.2012 12:25 netreba zabúdať, že Samsung má kopu pomerne nezávislých divízií, čiže ich HW tvorí kopu rôzných odvetví Samsungu. Vďaka tomu môžem súhlasiť s oboma: SW a mobilná divízia podľa mňa nic-moc (aj keď marketing majú geniálny, pomaly je problém nájsť operátora/výstavu/obchodné centrum atď, kde nepropagujú Samsung), zato ich čipy a displaye sú podľa mňa špičkové. Odpovedať Známka: -1.4 Hodnotiť:

Pridať komentár