neprihlásený Sobota, 4. februára 2023, dnes má meniny Veronika
Zverejnené detaily zaujímavej vážnej bezpečnostnej chyby v Androide

DSL.sk, 9.7.2013


Po minulotýždňovom avizovaní vážnej bezpečnostnej chyby v Androide, ktorá umožňuje modifikovať inštalačné APK súbory Android aplikácií bez zmeny ich kryptografického podpisu, jej objaviteľom bola táto chyba aktuálne verejne identifikovaná a zdokumentovaná.

Ako sme informovali v tomto článku, Bluebox Security avizovala minulý týždeň objavenie vážnej chyby, ktorá umožňuje infikovať inštalačné súbory a takéto súbory vydávať za originálne.

Chyba bola nahlásená Google už vo februári, Bluebox Security plánovala jej detaily zverejniť na augustovej konferencii Black Hat. V uplynulých dňoch ale komunita identikovala februárovú záplatu od Google v zdrojových kódoch Androidu, ktorá uvedenú chybu odhalila.

Inštalačné APK súbory sú ZIP archívmi. Chyba spočíva v overovaní APK, v ktorých sú uložené dve verzie súborov s rovnakým menom, najskôr modifikovaná a neskôr pôvodná. ZIP archív má zoradený zoznam súborov, ktoré sa v ňom nachádzajú, a umožňuje zaradiť súbor s rovnakým menom potenciálne viackrát.

Android pri overovaní zhody kryptografického podpisu kontroluje v prípade výskutu dvoch súborov s rovnakým menom len ten druhý. Ak je druhá verzia pôvodnou verziou z inštalačného súboru, podpis je overený ako korektný.

Keď sa ale APK archív používa v Androide, použije sa a spustí sa prvá, v tomto prípade modifikovaná, kópia tohto súboru.

Google chybu opravil záplatou zakazujúcou ZIP archívy, ktoré obsahujú viac verzií súboru s rovnakým menom.

Vzhľadom na jej jednoduchosť je chyba veľmi ľahko zneužiteľná, požadovaný APK súbor dokáže z originálneho vytvoriť napríklad takýto jednoduchý skript.

Ekosystém Androidu má aj bez tejto chyby výrazné problémy s falošnými aplikáciami infikovanými škodlivým kódom spoliehajúcimi sa pri šírení na sociálne inžinierstvo, nová chyba otvára nové technické spôsoby útoku. Útočníci ju môžu zneužiť minimálne v prípade, ak užívateľovi dokážu podvrhnúť manuálnu aktualizáciu niektorej z ním používaných aplikácií a to vrátane systémových. Android dovolí upgrade inštalovanej legitímnej aplikácie takouto modifikovanou aktualizáciou, keďže modifikovaná aplikácia je podpísaná rovnakým certifikátom a kľúčom.

Spoločnosť Bluebox Security sa možnými spôsobmi zneužitia chyby vo svojom oznámení nezaoberala. Či je možné uskutočniť aj man-in-the-middle útok na aktualizačný mechanizmus Androidu a podvrhnúť falošné aktualizácie alebo takémuto útoku efektívne zabraňujú iné mechanizmy, nie je jasné.


      Zdieľaj na Twitteri



Najnovšie články:

Objavených 12 nových mesiacov Jupitera, znovu predbehol Saturn
Výrobca pracovných staníc kritizuje spoľahlivosť Samsung SSD, prešiel na inú značku
Polícia prezradila emailové adresy viac ako dvesto ľudí, zle poslaným emailom
Helikoptéra na Marse uskutočnila po dlhom čase prieskumný let
Apple zariadení sa používajú dve miliardy
Webbov teleskop mal problém s prístrojom, spôsobilo ho zrejme kozmické žiarenie
Vydaný LibreOffice 7.5
AMD oznámila cenu a termín dostupnosti Ryzenov 7000X3D s veľkou L3 cache
Známe mesto pristúpilo k dramatickému obmedzeniu verejného osvetlenia, úplne ho vypína
Predaje PC, tabletov aj mobilov majú klesnúť aj v tomto roku


Diskusia:
                               
 

tuzobne ocakavam ubuntu touch..
Odpovedať Známka: 3.9 Hodnotiť:
 

Predpokladam ze na mnohych telefonoch to v praxi nebude nikdy fixnute, kedze updaty systemu robi vyrobca a nie google.
Toto je vo windows phone vyriesene lepsie. Tam sa hotfix systemu prejavi hned na vsetkych zariadeniach a netreba cakat, kym update urobia samotni vyrobcovia telefonu.
Odpovedať Známka: 6.6 Hodnotiť:
 

Ale veď dobre sa vie, že Android je deravý ako ementál. Prečo ľudia majú radi tieto doma na kolene robené systémy? Na druhej strane, lacné zariadenia s týmto Poor OS kupujú len masy ľudí , čo majú mizerné technické vedomosti. Horší je už len ten nepodarok Win Phone. Jedine Apple vyrába parádne telefóniky.
Odpovedať Známka: -6.0 Hodnotiť:
 

<flame>APPLE JE SROT</flame>
Odpovedať Známka: 5.3 Hodnotiť:
 

Sranda ako vsetci nicia iOS aky je to na hovno system, aj ked sa o chybach v bezpecnosti nikde nehovori, a cely Android je deravy, ale stale najlepsi system ever .... vsetci sme ovce (a tie reci su uz trapne)
Odpovedať Známka: -1.9 Hodnotiť:
 

sak jasne ze je tam menej chyb, ked sa tam nic neda skoro robit. Tazko hacknes kalkulacku ktora ma len zopar funkcii.
Odpovedať Známka: 5.8 Hodnotiť:
 

Myslim, ze 99% ludi robi na iOS a androide presne to iste. Neveim, kde sa vzala ta "nadradenost" androidu, ale pravda je, ze to nie je ziaden zazrak a druha vec je, ze su to len obycajne skur.vene mobili. Neviem co sa tu vsetci vzrusu. Aj tak na nich vsetci robia tie iste hovna a myslia si, ze pracuju.
Odpovedať Známka: 2.4 Hodnotiť:
 

Presne!
Uz len dodam, ze existuju aj pripady, ked si jedinci myslia, ze bez mobilov (jedno aky os) by sma este boli v jaskyniach.

Nakoniec sa ukaze, ze "blbe" mobily su ovela bezpecnejsie ako tie smarty.

Vsetky os na mobiloch su derave, ale vzdy sa najde "inteligent" tvrdiaci opak.
Odpovedať Známka: 8.5 Hodnotiť:
 

"Nakoniec sa ukaze, ze "blbe" mobily su ovela bezpecnejsie ako tie smarty."
To bude revolucne zistenie.
Odpovedať Hodnotiť:
 

*mobily
Odpovedať Známka: -3.3 Hodnotiť:
 

Vyborne .... o tebe presne hovorim :)
A nie je to o tom, ze by iOS malo menej funkcii, ale ze je uzavrety system a ked chcem vydat appku na iOS tak mi ju schvaluju minimalne tyzden ak nie viac a u Google ju mam v podstate hned (osobne skusenosti)
Odpovedať Hodnotiť:
 

Mizerne technicke vedomosti? To, ze si mobil, v ktorom je Android "teraz" kupuje kopec ludi je predsa o inom (ponuka vyrobcov, operatorov,...).
Android bol povodne rozsirovany geek-mi, opravte ma niekto. A naviac z neho vytazia prave ludia, ktori maju dobre tech. vedomosti.
Ako priklad uviest Apple, tak to bol ozaj krok mimo. Pokial nemas jailbreak, tak system ako taky je "blbuvzdorny" a to je to co na nom ludia chcu - aby im to slapalo a ved slape ozaj pekne a svizne. Druha vec je, ze mas "dovolene" len urcite veci. Takze nemas vymyslat a drzat sa pekne mantinelov, poslusne v ohradke - preto sa na tychto uzivatelov ujal termin (i)Ovce, opat ma pls. opravte, ak sa mylim.
Takze, Apple (iPhone) slape o tom pokoj, ale tech. vedomosti s nim nespajaj - jedine pri instalacii iTunes sa clovek "narobi", :-) aby sa vobec mohol mobil "normalne" pozivat. :)
Odpovedať Známka: 7.7 Hodnotiť:
 

sam si ovca
Odpovedať Známka: -7.9 Hodnotiť:
 

Jasne, ze niekedy je "menej viac", ale teda si sa nevyznamenal. :D
Keby si aspon rozumne nieco napisal. :-)
Mimochodom - vyssie uvedene je moj nazpr na zaklade skusenosti a informacii s ktorymi som sa stretol, sam pouzivam Symbian. :-)
Tolko k tej ovci - ano, vsetci sme ovecky bozie. :)
Odpovedať Známka: 7.8 Hodnotiť:
 

Boh je s velky B, takze by mali byt ovecky Bozie. Ale to je fuk, lebo ziaden boh nie je.
Odpovedať Známka: -5.7 Hodnotiť:
 

Mýliť sa je ľudské, odpúšťať božské.
Alexander Pope

;-)
Odpovedať Známka: 4.0 Hodnotiť:
 

Ved som napisal "mali byt" cize nie maju byt. Mne to je jedno ci je tam velke alebo male b, sam pisem boh s malym i ked viem, ze gramaticky to nie je spravne :)
Nebola to teda vycitka
Odpovedať Známka: -5.0 Hodnotiť:
 

</flame>
Odpovedať Známka: 10.0 Hodnotiť:
 

Mám Ipad mini a jeho kúpu dodnes považujem za veľkú chybu práve preto, čo je uvedené vyššie. IOS je systém na hrani a na www, nie na prácu. Dokonca ani poriadne na www nie, keďže tam nerozchodíš flash player.
Odpovedať Známka: 2.0 Hodnotiť:
 

2Maniak=>Buržuj...Tvoj štýl je evidentný.Tá obmedzenosť sršiaca zo všetkých tvojich príspevkov,neuveriteľné.Čo tým vlastne sleduješ?
Odpovedať Známka: 7.3 Hodnotiť:
 

Burzuj to stara firma... Zas mu to trollovanie vyslo a kazdy sa chyta :D
Odpovedať Známka: 8.6 Hodnotiť:
 

nekrmit!
Odpovedať Známka: 8.6 Hodnotiť:
 

Mimochodom, jedna vec su chyby systemu, druha, aktivne spravanie mobilu - ako v poslednych dnoch vidime zverejnenie sledovania komunikacie. Snad ma nezmazu, :) ale na jednom CZ webe sa spomina pripad Motoroly...
http://tinyurl.com/nbhhj5k
Odpovedať Známka: 6.0 Hodnotiť:
 

Nie je sa na com cudovat. Utocnici vzdy napadaju systemy, ktore su vo svete najpouzivanejsie. Mohli sme si uz zvyknut, ze na svete uz prakticky nie je system (z TOP 5-ky), ktory by necelil utokom. Sme predsa ludia a ako aj my, tak aj nase diela nie su nikdy dokonale a nikdy ani nebudu. Kazda jedna chyba vsak po oprave je krokom vpred.
Jedine, co musim kritizovat je problem aktualizacie zo strany operatorov. Orange, O2 ci Telekom nejak kaslu na upgrady systemov pretoze vacsina ich telefonov ma modifikovany firmware (brandovany). Preto po svete beha kopec zakaznikov, ktori maju telefony uz napadnute skodlivym softverom. Ked si uz niektory z operatorov branduje telefon, tak by sa mal starat aj o to aby ich zariadenia mali pristup k novym updatom.
Odpovedať Známka: 4.7 Hodnotiť:
 

Z pohladu dneska v casoch davno minulych (windows mobile 6.0) bolo XDA forum domenov prave WM6 a HTC. Vdaka tomu sa HTC dost spopularizovalo a aj WM a jeho hackovanie sa stalo popularne (modifikovanie systemu, ladenie, bakenutie vlastnych romiek a podobne). Samozrejme sa vtedy mohutne nadavalo na WM ako M$ shit, ktory bol nestabilny, tazkopadny atd. (mnohe pripomienky boli aj opravnene) a ze Nokia so Symbianom je ta spravna volba. Dnes by si clovek povedal ze sme sa uz posunuli dalej a situacia bude lepsia, akurat ze ked sa pozriem na XDA dnes tak vlastne sa nic nezmenilo akurat dolepeny WM nahradil dolepeny Android.... :-(
Odpovedať Známka: 10.0 Hodnotiť:
 

no uzavreny os to asi istí , momentálne os s40 , zial zacat pouzivat mobil len na volanie a smskovanie , krásna dlhá výdrž ... jedno simkove , ... ;)
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár