 
neprihlásený 
|
Piatok, 26. apríla 2024, dnes má meniny Jaroslava |
|
|
Zverejnené detaily zaujímavej vážnej bezpečnostnej chyby v Androide
DSL.sk, 9.7.2013
|
|
Po minulotýždňovom avizovaní vážnej bezpečnostnej chyby v Androide, ktorá umožňuje modifikovať inštalačné APK súbory Android aplikácií bez zmeny ich kryptografického podpisu, jej objaviteľom bola táto chyba aktuálne verejne identifikovaná a zdokumentovaná.
Ako sme informovali v tomto článku, Bluebox Security avizovala minulý týždeň objavenie vážnej chyby, ktorá umožňuje infikovať inštalačné súbory a takéto súbory vydávať za originálne.
Chyba bola nahlásená Google už vo februári, Bluebox Security plánovala jej detaily zverejniť na augustovej konferencii Black Hat. V uplynulých dňoch ale komunita identikovala februárovú záplatu od Google v zdrojových kódoch Androidu, ktorá uvedenú chybu odhalila.
Inštalačné APK súbory sú ZIP archívmi. Chyba spočíva v overovaní APK, v ktorých sú uložené dve verzie súborov s rovnakým menom, najskôr modifikovaná a neskôr pôvodná. ZIP archív má zoradený zoznam súborov, ktoré sa v ňom nachádzajú, a umožňuje zaradiť súbor s rovnakým menom potenciálne viackrát.
Android pri overovaní zhody kryptografického podpisu kontroluje v prípade výskutu dvoch súborov s rovnakým menom len ten druhý. Ak je druhá verzia pôvodnou verziou z inštalačného súboru, podpis je overený ako korektný.
Keď sa ale APK archív používa v Androide, použije sa a spustí sa prvá, v tomto prípade modifikovaná, kópia tohto súboru.
Google chybu opravil záplatou zakazujúcou ZIP archívy, ktoré obsahujú viac verzií súboru s rovnakým menom.
Vzhľadom na jej jednoduchosť je chyba veľmi ľahko zneužiteľná, požadovaný APK súbor dokáže z originálneho vytvoriť napríklad takýto jednoduchý skript.
Ekosystém Androidu má aj bez tejto chyby výrazné problémy s falošnými aplikáciami infikovanými škodlivým kódom spoliehajúcimi sa pri šírení na sociálne inžinierstvo, nová chyba otvára nové technické spôsoby útoku. Útočníci ju môžu zneužiť minimálne v prípade, ak užívateľovi dokážu podvrhnúť manuálnu aktualizáciu niektorej z ním používaných aplikácií a to vrátane systémových. Android dovolí upgrade inštalovanej legitímnej aplikácie takouto modifikovanou aktualizáciou, keďže modifikovaná aplikácia je podpísaná rovnakým certifikátom a kľúčom.
Spoločnosť Bluebox Security sa možnými spôsobmi zneužitia chyby vo svojom oznámení nezaoberala. Či je možné uskutočniť aj man-in-the-middle útok na aktualizačný mechanizmus Androidu a podvrhnúť falošné aktualizácie alebo takémuto útoku efektívne zabraňujú iné mechanizmy, nie je jasné.
Najnovšie články:
![]()
Diskusia:
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
touch
Od reg.: dentista quix
|
Pridané:
9.7.2013 9:36
tuzobne ocakavam ubuntu touch..
|
| |
titulok
Od: gru
|
Pridané:
9.7.2013 9:38
Predpokladam ze na mnohych telefonoch to v praxi nebude nikdy fixnute, kedze updaty systemu robi vyrobca a nie google.
Toto je vo windows phone vyriesene lepsie. Tam sa hotfix systemu prejavi hned na vsetkych zariadeniach a netreba cakat, kym update urobia samotni vyrobcovia telefonu.
|
| |
Poor OS
Od: Buržuj
|
Pridané:
9.7.2013 9:41
Ale veď dobre sa vie, že Android je deravý ako ementál. Prečo ľudia majú radi tieto doma na kolene robené systémy? Na druhej strane, lacné zariadenia s týmto Poor OS kupujú len masy ľudí , čo majú mizerné technické vedomosti. Horší je už len ten nepodarok Win Phone. Jedine Apple vyrába parádne telefóniky.
|
| |
Re: Poor OS
Od: fffffffffffffffffffffff
|
Pridané:
9.7.2013 9:53
<flame>APPLE JE SROT</flame>
|
| |
Re: Poor OS
Od: Manu
|
Pridané:
9.7.2013 10:12
Sranda ako vsetci nicia iOS aky je to na hovno system, aj ked sa o chybach v bezpecnosti nikde nehovori, a cely Android je deravy, ale stale najlepsi system ever .... vsetci sme ovce (a tie reci su uz trapne)
|
| |
Re: Poor OS
Od: kekeket
|
Pridané:
9.7.2013 10:14
sak jasne ze je tam menej chyb, ked sa tam nic neda skoro robit. Tazko hacknes kalkulacku ktora ma len zopar funkcii.
|
| |
Re: Poor OS
Od: oOo
|
Pridané:
9.7.2013 10:28
Myslim, ze 99% ludi robi na iOS a androide presne to iste. Neveim, kde sa vzala ta "nadradenost" androidu, ale pravda je, ze to nie je ziaden zazrak a druha vec je, ze su to len obycajne skur.vene mobili. Neviem co sa tu vsetci vzrusu. Aj tak na nich vsetci robia tie iste hovna a myslia si, ze pracuju.
|
| |
Re: Poor OS
Od: Fxn
|
Pridané:
9.7.2013 10:59
Presne!
Uz len dodam, ze existuju aj pripady, ked si jedinci myslia, ze bez mobilov (jedno aky os) by sma este boli v jaskyniach.
Nakoniec sa ukaze, ze "blbe" mobily su ovela bezpecnejsie ako tie smarty.
Vsetky os na mobiloch su derave, ale vzdy sa najde "inteligent" tvrdiaci opak.
|
| |
Re: Poor OS
Od reg.: TheHacker
|
Pridané:
12.7.2013 15:52
"Nakoniec sa ukaze, ze "blbe" mobily su ovela bezpecnejsie ako tie smarty."
To bude revolucne zistenie.
|
| |
Re: Poor OS
Od: oOo
|
Pridané:
9.7.2013 14:40
*mobily
|
| |
Re: Poor OS
Od: Manu
|
Pridané:
10.7.2013 10:49
Vyborne .... o tebe presne hovorim :)
A nie je to o tom, ze by iOS malo menej funkcii, ale ze je uzavrety system a ked chcem vydat appku na iOS tak mi ju schvaluju minimalne tyzden ak nie viac a u Google ju mam v podstate hned (osobne skusenosti)
|
| |
Re: Poor OS
Od: 3 znaky
|
Pridané:
9.7.2013 10:05
Mizerne technicke vedomosti? To, ze si mobil, v ktorom je Android "teraz" kupuje kopec ludi je predsa o inom (ponuka vyrobcov, operatorov,...).
Android bol povodne rozsirovany geek-mi, opravte ma niekto. A naviac z neho vytazia prave ludia, ktori maju dobre tech. vedomosti.
Ako priklad uviest Apple, tak to bol ozaj krok mimo. Pokial nemas jailbreak, tak system ako taky je "blbuvzdorny" a to je to co na nom ludia chcu - aby im to slapalo a ved slape ozaj pekne a svizne. Druha vec je, ze mas "dovolene" len urcite veci. Takze nemas vymyslat a drzat sa pekne mantinelov, poslusne v ohradke - preto sa na tychto uzivatelov ujal termin (i)Ovce, opat ma pls. opravte, ak sa mylim.
Takze, Apple (iPhone) slape o tom pokoj, ale tech. vedomosti s nim nespajaj - jedine pri instalacii iTunes sa clovek "narobi", :-) aby sa vobec mohol mobil "normalne" pozivat. :)
|
| |
Re: Poor OS
Od: naivko
|
Pridané:
9.7.2013 11:18
sam si ovca
|
| |
Re: Poor OS
Od: 3 znaky
|
Pridané:
9.7.2013 11:36
Jasne, ze niekedy je "menej viac", ale teda si sa nevyznamenal. :D
Keby si aspon rozumne nieco napisal. :-)
Mimochodom - vyssie uvedene je moj nazpr na zaklade skusenosti a informacii s ktorymi som sa stretol, sam pouzivam Symbian. :-)
Tolko k tej ovci - ano, vsetci sme ovecky bozie. :)
|
| |
Re: Poor OS
Od: oOo
|
Pridané:
9.7.2013 11:51
Boh je s velky B, takze by mali byt ovecky Bozie. Ale to je fuk, lebo ziaden boh nie je.
|
| |
Re: Poor OS
Od: 3 znaky
|
Pridané:
9.7.2013 13:04
Mýliť sa je ľudské, odpúšťať božské.
Alexander Pope
;-)
|
| |
Re: Poor OS
Od: oOo
|
Pridané:
9.7.2013 14:19
Ved som napisal "mali byt" cize nie maju byt. Mne to je jedno ci je tam velke alebo male b, sam pisem boh s malym i ked viem, ze gramaticky to nie je spravne :)
Nebola to teda vycitka
|
| |
Re: Poor OS
Od: a dost bolo reci
|
Pridané:
10.7.2013 0:24
</flame>
|
| |
Re: Poor OS
Od: Lauryl
|
Pridané:
9.7.2013 22:25
Mám Ipad mini a jeho kúpu dodnes považujem za veľkú chybu práve preto, čo je uvedené vyššie. IOS je systém na hrani a na www, nie na prácu. Dokonca ani poriadne na www nie, keďže tam nerozchodíš flash player.
|
| |
Re: Poor OS
Od reg.: Reaper
|
Pridané:
9.7.2013 10:10
2Maniak=>Buržuj...Tvoj štýl je evidentný.Tá obmedzenosť sršiaca zo všetkých tvojich príspevkov,neuveriteľné.Čo tým vlastne sleduješ?
|
| |
Re: Poor OS
Od: gustonator
|
Pridané:
9.7.2013 10:35
Burzuj to stara firma... Zas mu to trollovanie vyslo a kazdy sa chyta :D
|
| |
Re: Poor OS
Od: quix_
|
Pridané:
9.7.2013 10:47
nekrmit!
|
| |
\"Motorola Is Listening\"
Od: 3 znaky
|
Pridané:
9.7.2013 10:19
Mimochodom, jedna vec su chyby systemu, druha, aktivne spravanie mobilu - ako v poslednych dnoch vidime zverejnenie sledovania komunikacie. Snad ma nezmazu, :) ale na jednom CZ webe sa spomina pripad Motoroly...
http://tinyurl.com/nbhhj5k
|
| |
Pohoda
Od reg.: NikhajZzz
|
Pridané:
9.7.2013 10:19
Nie je sa na com cudovat. Utocnici vzdy napadaju systemy, ktore su vo svete najpouzivanejsie. Mohli sme si uz zvyknut, ze na svete uz prakticky nie je system (z TOP 5-ky), ktory by necelil utokom. Sme predsa ludia a ako aj my, tak aj nase diela nie su nikdy dokonale a nikdy ani nebudu. Kazda jedna chyba vsak po oprave je krokom vpred.
Jedine, co musim kritizovat je problem aktualizacie zo strany operatorov. Orange, O2 ci Telekom nejak kaslu na upgrady systemov pretoze vacsina ich telefonov ma modifikovany firmware (brandovany). Preto po svete beha kopec zakaznikov, ktori maju telefony uz napadnute skodlivym softverom. Ked si uz niektory z operatorov branduje telefon, tak by sa mal starat aj o to aby ich zariadenia mali pristup k novym updatom.
|
| |
casy minule
Od: nemo22
|
Pridané:
9.7.2013 13:47
Z pohladu dneska v casoch davno minulych (windows mobile 6.0) bolo XDA forum domenov prave WM6 a HTC. Vdaka tomu sa HTC dost spopularizovalo a aj WM a jeho hackovanie sa stalo popularne (modifikovanie systemu, ladenie, bakenutie vlastnych romiek a podobne). Samozrejme sa vtedy mohutne nadavalo na WM ako M$ shit, ktory bol nestabilny, tazkopadny atd. (mnohe pripomienky boli aj opravnene) a ze Nokia so Symbianom je ta spravna volba. Dnes by si clovek povedal ze sme sa uz posunuli dalej a situacia bude lepsia, akurat ze ked sa pozriem na XDA dnes tak vlastne sa nic nezmenilo akurat dolepeny WM nahradil dolepeny Android.... :-(
|
| |
klasika
Od: mola
|
Pridané:
9.7.2013 14:02
no uzavreny os to asi istí , momentálne os s40 , zial zacat pouzivat mobil len na volanie a smskovanie , krásna dlhá výdrž ... jedno simkove , ... ;)
|
Pridať komentár
|
|
|
|
