V Androide vážna chyba, umožňuje infikovať aplikácie bez zmeny kryptografického podpisu

DSL.sk, 4.7.2013

V operačnom systéme Android určenom najmä pre mobilné zariadenia sa minimálne približne štyri roky nachádza vážna bezpečnostná chyba, ktorá podkopáva bezpečnosť mechanizmu zabezpečenia aplikácií.

V stredu o tom informovala bezpečnostná spoločnosť Bluebox Security, ktorá chybu objavila.

Chyba je prítomná v Androide minimálne od verzie 1.6 vydanej v septembri 2009. Vďaka chybe je možné podľa Bluebox Security modifikovať inštalačný APK balík legitímnych Android aplikácií vrátane kódu takým spôsobom, že pôvodný kryptografický podpis aplikácii bude aj po zmene naďalej overovaný ako platný.

Chyba umožňuje podľa informácií Bluebox modifikovať inštalačné balíky Android aplikácií do takej miery, že do aplikácií je možné dostať trojanov a ďalší funkčný škodlivý kód.

Ekosystém Androidu má aj bez tejto chyby výrazné problémy s falošnými aplikáciami infikovanými so škodlivým kódom, ktoré útočníci distribuujú cez obchody s Android aplikáciami. Tieto aplikácie nemajú podpis od skutočného tvorcu originálnej aplikácie a spoliehajú sa najmä na sociálne inžinierstvo.

Zverejnená chyba otvára nové technické spôsoby útoku. Útočníci ju môžu zneužiť minimálne v prípade, ak užívateľovi dokážu podvrhnúť manuálnu aktualizáciu niektorej z ním používaných aplikácií a to vrátane systémových. Android dovolí upgrade inštalovanej legitímnej aplikácie takouto modifikovanou aktualizáciou, keďže modifikovaná aplikácia je podpísaná rovnakým certifikátom a kľúčom.

Bluebox Security sa možnými spôsobmi zneužitia chyby vo svojom oznámení nezaoberajú. Či je možné uskutočniť aj man-in-the-middle útok na aktualizačný mechanizmus Androidu a podvrhnúť falošné aktualizácie alebo takémuto útoku efektívne zabraňujú iné mechanizmy, nie je jasné.

Spoločnosť chybu nahlásila Google už vo februári a v súčasnosti je už v prvých zariadeniach opravená. Google tiež nedovoľuje na Google Play nahrať aplikácie modifikované spôsobom umožňovaným touto chybou.

Bližšie informácie o chybe Bluebox Security zverejní na augustovej konferencii Black Hat.




Najnovšie články:



Diskusia:

no booze :-D Od: jonatan_666 | Pridané: 4.7.2013 9:21 no boze katastrofa :-D facebook tym zacal ze updatoval svoju aplikaciu mimo play storu tak to google upravil v podmienkach a zabranil zas take strasne to nieje ako to tu v clanku opisuju :-D Odpovedať Známka: -4.9 Hodnotiť:

Re: no booze :-D Od: potkan5525 | Pridané: 4.7.2013 9:22 ukludni sa Odpovedať Známka: -3.1 Hodnotiť:

Re: no booze :-D Od: oOo | Pridané: 4.7.2013 9:36 Nie je to horsie. Odpovedať Známka: 6.0 Hodnotiť:

Re: no booze :-D Od: Houston | Pridané: 4.7.2013 10:22 Ak by sa podarilo zrealizovat Man-In-The-Middle, tak staci dat niekde Wifi hotspot, vela ludi ma automaticke aktualizovanie na Wifi zapnute, vyrobit jednu systemovu aplikaciu, ktoru tam ma kazdy, tu infikovat, dat jej vysoke cislo verzie a vsetky take Android zariadenia si ju sami stiahnu a nainstaluju. Ak nie, staci presmerovat zrovna clovekom navstivenu web stranku na nieco co bude vyzerat ako Play Store, dat tam cervenym POZOR CHYBA! RYCHLO INSTALUJTE! a vacsina si to APK stiahne a Android mu ho nainstaluje. Pocet bude sice mensi ako v prvom pripade ale urcite dost vyznamny. Odpovedať Známka: 6.5 Hodnotiť:

Re: no booze :-D Od: bla bla bla | Pridané: 4.7.2013 10:23 je to dosť vážne, lebo z toho množstva telefónov dostane patch len veľmi malý zlomok. Odpovedať Známka: 9.0 Hodnotiť:

chyba Od: hugahuga | Pridané: 4.7.2013 10:28 kde moze byt ta chyba? - algoritmy vytvorenia a overenia podpisu su prilis dobre zname a stare na to, aby tam softverovy inzinier googla spravil chybu - k vytvoreniu falosneho certifikatu s tym istym privatnym podpisovacim klucom ako ma autor, len tak lahko nemoze prist - bezpecnostny model pri .apk - mozno - nejaky bug umoznujuci zmanipulovat proces vztvorenia alebo overenia podpisu - mozno - este niekde? Odpovedať Známka: 6.4 Hodnotiť:

Re: chyba Od: Etela Kotlarova | Pridané: 4.7.2013 10:32 ňeni možne! vy si vymyšlate a hrate sa na programatora. trebalo by si uvedomit, že cely android je určeny na špehovanie ľudi a je to virus. Odpovedať Známka: 0.0 Hodnotiť:

Re: chyba Od: ddddddd | Pridané: 4.7.2013 23:14 Rovnako ako windowz :-) Odpovedať Známka: 3.3 Hodnotiť:

Re: chyba Od: someone | Pridané: 4.7.2013 10:40 Napr. backdoor na poziadavku NSA a teraz ked sa to prevalilo tak je z toho pradavny security bug. Podme konspirovat ;-) Odpovedať Známka: 7.9 Hodnotiť:

Re: chyba Od: Meheh | Pridané: 5.7.2013 19:58 Aspon je v kode o par riadkov menej no :D Odpovedať Hodnotiť:

3545353 Od: 35345354 | Pridané: 4.7.2013 10:42 tato chyba je len pre bfu nic pre nas zdatnych IT-ckarov na dsl.sk Odpovedať Známka: -4.5 Hodnotiť:

Re: 3545353 Od: dgdhxhxhxh | Pridané: 4.7.2013 10:50 najme ak po aktualizacii play storeu ti google nastavi automaticku aktualizaciu napriek tomu se si predtym mal nastaveny na manual a ty to musis nastavovat, tak isto facebook pride zmena dizajnu a sukromie sa tiez prenastavy Odpovedať Známka: 7.5 Hodnotiť:

Re: 3545353 Od: DonJebot | Pridané: 4.7.2013 11:33 A preto si android kupujú masovo nie-IT ľudia, aby ich potom z neho je*lo. Odpovedať Známka: 0.7 Hodnotiť:

Re: 3545353 Od reg.: dentista quix | Pridané: 4.7.2013 12:59 a co si kupi "IT" clovek? :) nahryznute jablko? polofunkcny windows phone? :D Odpovedať Známka: 1.4 Hodnotiť:

Re: 3545353 Od: oOo | Pridané: 4.7.2013 13:15 Funcny symbian trotl. Odpovedať Známka: 0.7 Hodnotiť:

Re: 3545353 Od: oOo | Pridané: 4.7.2013 13:18 Ked nad tym rozmyslam tak ani iOS neni zly napad. Kedze vacsian expertov tu sa ohana rootom a neoficialnymi romkami tak snad maju mozgovu kapacitu spravit aj JB na iPhone. A mas vsetko co ti chyba z droidu. Plus normalny market. Odpovedať Známka: 2.0 Hodnotiť:

Re: 3545353 Od: 345345 | Pridané: 4.7.2013 15:27 to mam na androide a este viac. Odpovedať Známka: 3.3 Hodnotiť:

Re: 3545353 Od: Admin. | Pridané: 4.7.2013 15:52 - No droid by mohol v prvom rade precistit svoj market. Nemyslim od skodlivych apps, ale je tam kopec smeti. - Naucit sa taku zakladnu vec, ako zaloha systemu. Nie, to co je teraz mozne, ci uz cez root alebo inac, nie je plnohodnotna zaloha systemu ako napr. na iOS. - A konecne by sa ten kram mal naucit instalovat aplikacie len na pamatovku, alebo vstavanu pamat., napr. 16gb u S3 atd. A nie presuvanie aplikacii hore dole, ktore tam prislo s 2.3 a uz ho aj niet. - Urobit nieco s tym systemom. Ano, lagy su hlavne na lowende. Ale stava sa to aj u S4. Co je skor problem toho ako zmrvia vyrobcovia. Projekt butter az tak uspesny nebol. A k tym lowend. Je predsa jedno ci telefon stoji 500€ alebo 150€, ale kupit nieco co sa seka je drzost vyrobcov. Odpovedať Známka: 6.7 Hodnotiť:

Re: 3545353 Od: Admin. | Pridané: 4.7.2013 15:52 - Prava aplikacii. To, ze je to dobre a ludia aspon vidia co app chce je blbost na entu. Je plno aplikacii, ktore chcu prava co im netreba. Ale problemom je, ze je problem najst app, ktora tieto prava neche, je funkcna ako chcem ja a nevyzera ako by ju zbuchali po opici. Nema to s bezpecnostou vobec nic spolocne. - Skor by ma google dat moznost, ze aj ked to chce liezt tam tak to ja, ako uzivatel nechcem. Ale vzhladom na to, na com je zalozeny system predajnosti aplikacii tak sa neni comu cudovat. - A mohlo by to prestat zit svojim zivotom, nemusia tam bezat natvrdo sluzby google, ktore nie vsetci chcu. Ale kedze google zije z reklamy a dat co zozbiera to mozne asi nie je. Odpovedať Známka: 10.0 Hodnotiť:

Re: 3545353 Od: netload | Pridané: 4.7.2013 16:10 BlackBerry ty trololo Odpovedať Známka: 5.0 Hodnotiť:

Android trojany Od reg.: NikhajZzz | Pridané: 4.7.2013 11:27 To ze je Play Store plne trojanov je uplna pravda. Mam s tym skusenosti. Napriklad v Play Store aplikacie na internetovu televiziu Slovak TV a pod. su infikovane. A coraz viacej hier tiez. Bezny uzivatel smartfonu si nie je vedomy toho ze android telefon je treba uz dlhsiu dobu chranit antivirom. Velmi dobre funguje NOD32 na telefonoch, ktory ponuka kopec zabezpeceni na data aj SIM kartu. Mozno ma niekto iny soft, ja som vsak spokojny zatial s tymto. Ale vemli rad by som si precital nazor nejakeho odbornika...velmi malo sa o tejto teme hovori a pritom je Android masovy produkt. Odpovedať Známka: 5.0 Hodnotiť:

Re: Android trojany Od: 53435 | Pridané: 4.7.2013 11:54 pouzivam avast Odpovedať Známka: 10.0 Hodnotiť:

Re: Android trojany Od: jaaaaajajjjaaa | Pridané: 4.7.2013 15:05 ja Gdata Odpovedať Známka: 3.3 Hodnotiť:

Re: Android trojany Od: haha | Pridané: 4.7.2013 17:16 nic horsie ako gdata som zatial nezazil Odpovedať Známka: 5.0 Hodnotiť:

Re: Android trojany Od: Meheh | Pridané: 5.7.2013 20:04 Ja mam najlepsi system. Rezim lietadlo :D Odpovedať Hodnotiť:

Re: Android trojany Od: ahahha | Pridané: 4.7.2013 13:01 kam sme to dospeli ze potrebujeme antivirus uz aj na telefony. to taky telefon musi byt uplne k hovnu ... a s pouzivanim antiviru ti urcite dalej klesne vydrz na baterku. Uz aj tak tie vyzdrze baterie u smartphonov su ubohe nabijat to kazdy den to aby som asi hodil o stenu taky telefon Odpovedať Známka: 6.7 Hodnotiť:

Re: Android trojany Od: rqll | Pridané: 4.7.2013 14:40 Kazdy odbornik Ti povie, ze akykolvek antivirus na Androide je hlupost a odrb, ktory si tam sam nainstalujes. Pokial instalujes veci len z Play store, si v pohode, ak tahas kade tade cracknute applikacie, lebo si socka, co nemoze dat 2 eura za appku, to je uz tvoj problem. Odpovedať Známka: -2.5 Hodnotiť:

Re: Android trojany Od: dtztigf | Pridané: 4.7.2013 18:15 Zaujimave je, (asi to ma nieco spolocne s apple sheep - zaplatim som cool) ze zacinaju sa tu vynarat jedninci, ktory si myslia, ze ked zaplatia za aplikaciu su nadradeni. Odpovedať Známka: 4.3 Hodnotiť:

este ze Od reg.: ccccc | Pridané: 4.7.2013 12:04 este ze 80% Androidov funguje na verzii <= 2.3 Odpovedať Známka: -2.3 Hodnotiť:

Re: este ze Od reg.: dentista quix | Pridané: 4.7.2013 13:02 co to trepes? cca 58% android zariadeni ma 4a vyssie Odpovedať Známka: 2.0 Hodnotiť:

Re: este ze Od reg.: ccccc | Pridané: 4.7.2013 13:24 to cislo mas odvodene z ranajsej erekcie ? Odpovedať Známka: -1.7 Hodnotiť:

Re: este ze Od: HMMMMMM | Pridané: 4.7.2013 15:18 http://developer.android.com/ about/dashboards/index.html Odpovedať Hodnotiť:

Re: este ze Od: Koloman O. | Pridané: 7.7.2013 12:40 Ten tvoj odkaz funguje tak, ako cely android. Odpovedať Hodnotiť:

Re: este ze Od: HMMMMMM | Pridané: 4.7.2013 15:24 http://justfuckinggoogleit.com/ Odpovedať Známka: -6.0 Hodnotiť:

Pridať komentár