Do zamknutého Android telefónu sa je pre chybu možné dostať

Značky: Androidbezpečnosť

DSL.sk, 16.9.2015

V posledných verziách operačného systému Android sa nachádza bezpečnostná zraniteľnosť, ktorá sa umožňuje dostať do zamknutého zariadenia bez znalosti hesla.

Upozornil na to bezpečnostný tím z Texaskej univerzity, ktorý chybu identifikoval.

Chyba sa nachádza v Androide 5.0 až 5.1.1 a týka sa zariadení zamknutých pomocou hesla, pri použití PIN-u alebo vzoru ju nie je možné zneužiť.

Spočíva v zadaní príliš dlhého reťazca na zamknutej obrazovke, pre ktorý proces zabezpečujúci zamknutú obrazovku padne, zariadenie sa odomkne a útočníkovi je sprístupnená domovská obrazovka.

Útočník s fyzickým prístupom k zariadeniu si najskôr po vyvolaní funkcie tiesňových hovorov pripraví do schránky dostatočne dlhý text zadaním niekoľkých znakov a opakovaným zdvojnásobovaním dĺžky textu pomocou jeho celého skopírovania a opakovaného vloženia. Oznámenie konkrétne odporúča začať s 10 znakmi a opakovať zdvojovanie dĺžky až pokiaľ dvojklik nevyznačí celý text. To sa typicky má stať po jedenástich zdvojnásobeniach, vtedy má tak text viac ako 20 tisíc znakov.

Demonštrácia útoku na Nexuse 4 (video: Texaská univerzita)

Následne útočník spustí zo zamknutej obrazovky aplikáciu pre fotenie a z notifikačnej lišty sa pokúsi spustiť nastavenia, čo zobrazí políčko pre zadanie hesla. Do tohto je potrebné opakovane vkladať predpripravený dlhý text až kým výzva pre pád nezmizne a na obrazovke zostane aplikácia pre fotenie ale bez systémových softvérových tlačidiel.

Po nejakom čase následne padne sama od seba aj aplikácia pre fotenie a útočník získa prístup k domovskej obrazovke. Útok trvá podľa ukážkového videa z Nexusu 4 viacero minút, konkrétne aplikácia pre fotenie padne po päť a pol minútach.

Chyba bola spoločnosťou Google opravená v neskorších verziách Androidu 5.1.1, konkrétne v zostavení LMY48M vydanom pre jeho Nexus zariadenia minulý týždeň. Či je možné chybu zneužiť v úplne každom zariadení s Androidom 5.0+ nie je jasné, oznámenie ale neinformuje o účinnosti útoku len na niektoré zariadenia.

Vzhľadom na tempo akým vydávajú bezpečnostné aktualizácie ostatní výrobcovia chyba pravdepodobne u ostatných zariadení ešte nebude opravená. Na zariadeniach, ktoré sú zraniteľné, je tak možné pre zvýšenie zabezpečenia paradoxne prejsť zo zabezpečenia heslom na zabezpečenie PIN-om alebo vzorom.




Najnovšie články:



Diskusia:

Ajfón nič Od: Tomáš Marný | Pridané: 16.9.2015 9:24 bez chyby nech môžem kľudne spávať vo velkej izbe pripojeny na susedovú wifi? Odpovedať Známka: -4.7 Hodnotiť:

Re: Ajfón nič Od: Tup | Pridané: 16.9.2015 9:42 chyby sú v oboch OS rozdiel však je, že keď na iOS sa nájde vážna chyba, ktorá sa aj reálne začne zneužívať, tak Apple vydá záplatu, ktorá je za chvíľu inštalovaná na 70-90% zariadeniach, zatiaľ čo Androidy upgradujú...pri kúpe nového, po 2-3 rokoch. Google síce vydá záplatu, no jej distribúcia je vážny problém. Preto si myslím, že malware má na Androide veľkú budúcnosť, nech sa bude Google snažiť hocijak. Odpovedať Známka: 5.8 Hodnotiť:

Re: Ajfón nič Od: olaola | Pridané: 16.9.2015 10:39 samo lžeš, my máme svobodu si koupit Nexus či levný telefon bez updateu, Applisti nemají ty jen hloupě obhajuješ fašistický přístup Odpovedať Známka: -1.5 Hodnotiť:

Re: Ajfón nič Od: Tup | Pridané: 16.9.2015 11:14 nemám ti čo iné povedať, len otvor oči a https://developer.android.com /about/dashboards/index.html Odpovedať Známka: 5.0 Hodnotiť:

Re: Ajfón nič Od: olaola | Pridané: 16.9.2015 13:15 lžeš, Nexusy mají skoro ve 100 % nové updaty, v tom je dokonce lepší než Apple to, že sis nekoupil Nexus, je tvá volba, s Applem jsi hloupá oběť fašismu :) Odpovedať Známka: -4.7 Hodnotiť:

Re: Ajfón nič Od: sak ja ne? | Pridané: 16.9.2015 13:42 Nemôžem si to odpustiť. SAW: -I want to play a game! -I can´t... -Why?! -I have Mac... Odpovedať Známka: 4.1 Hodnotiť:

Re: Ajfón nič Od: Sdddd | Pridané: 17.9.2015 0:21 Steam... Odpovedať Známka: 0.0 Hodnotiť:

Re: Ajfón nič Od: Muad'Dib | Pridané: 30.9.2015 23:30 On t+e neobhajuje. Fašistický přístup máš zde jedině ty. Vypadáš jak fašista z Liberálního institutu. Odpovedať Hodnotiť:

Re: Ajfón nič Od: olaola | Pridané: 16.9.2015 10:40 mimochodem, Apple má nejhorší bezpečnost ze všech produktů na světě, neexistuje děravější než to, co pochází od Applu: "The operating system with the highest number of vulnerabilities in 2014 was Apple's Mac OS X followed in second place by it's own iOS." Odpovedať Známka: 1.2 Hodnotiť:

Re: Ajfón nič Od: siirii | Pridané: 16.9.2015 11:22 A aká je prax? Len nedávno: "Vzhľadom na vážnosť chýb a ich zneužiteľnosť na odhadovaných 950 miliónoch Android zariadení niektorí mobilní operátori súčasne s minulotýždenným zverejnením bližších informácií o chybách prijali preventívne opatrenia." Odpovedať Známka: 3.3 Hodnotiť:

Re: Ajfón nič Od: Tup | Pridané: 16.9.2015 11:26 napriek tomu zraniteľnosti, ktoré vedú k exploitom zneužívajúcich tie zraniteľnosti, sú opravené a distribuované vo veľmi krátkom čase, čo znamená, že aj keď je iOS zariadení na svete toľko, ako počítačov cca v 2004, iOS je problém zavíriť a prakticky sa tieto chyby takmer nezneužívajú, zatiaľ čo počítače v 2004 si na internete bez antivíru nemohol mať. To je rozdiel medzi teóriou (počet zraniteľností) a praxou (reálne zneužívanie chýb). Android predal toľko zariadení, ako iOS teraz, v roku 2013 a v 2013 si vedel tiež kopu vírusov nájsť aj na Play Store. Odpovedať Známka: 5.0 Hodnotiť:

Re: Ajfón nič Od: olaola | Pridané: 16.9.2015 13:18 lžeš: 1) existují viry, ale jen a pouze na iOS ("Masque Attack - iOS Security Flaw Discovered by FireEye") 2) android nemá skoro žádnou aktuální díru, pokud koupíš Nexus statistiky nelžou: http://goo.gl/zJsjTz a pozor, Android je Linux+další zabezpečení, tudíž Android!=Linux Odpovedať Známka: -5.6 Hodnotiť:

Re: Ajfón nič Od: syntaxterrorX | Pridané: 16.9.2015 13:46 A ešte väčši pozor si treba dávať na zdôvodňovanie (ne)pravdivosti pravdivosťou štatistík.;-) Odpovedať Známka: 8.2 Hodnotiť:

Re: Ajfón nič Od: siirii | Pridané: 23.9.2015 11:54 Masque Attack - zraniteľnosť bola opravená v iOS 8.2, navyše: Apple stated on November 14 that they were not aware of any incidents in which one of their customers had been affected by the attack. Zatiaľ čo s Androidom je infikované každé sté zariadenie: http://www.dsl.sk/article.php?article=16858 "android nemá skoro žádnou aktuální díru, pokud koupíš Nexus": Super! Takže pokiaľ si kúpim jeden jediný telefón spomedzi niekoľko stoviek s Androidom, tak nebudem mať žiadnu bezpečnostnú zraniteľnosť. Ty si dobrý komik, daj ešte niečo. Odpovedať Hodnotiť:

hahaha Od: hahahahaha | Pridané: 16.9.2015 9:24 haha Odpovedať Známka: -5.4 Hodnotiť:

android vs. iphone Od: vecny androidak | Pridané: 16.9.2015 10:11 Akoze som takmer vecny odporca Apple (najma kvoli predrazenosti), ale to co posledne Google/Android predvadza s bezpecnostou, vazne uvazujem nad prechodom na iPhone az si na to nasporim... Pride mi, ze ta ich Apple uzavretejsia platforma ma nieco do seba - mas hranice, mas mantinely, atd. Neviem ... Odpovedať Známka: -0.4 Hodnotiť:

Re: android vs. iphone Od: Maco333 | Pridané: 16.9.2015 10:14 Sorry ale Samsung pyta za svoje telefony podobne ciastky a to robi len HW a OS berie zdarma od Googlu. Apple (tak ako MS ci BB) robia HW aj SW. Takze ak uz mam dat tolko penazi za telefon tak od znacky ktora robi vsetko a za vsetko berie zodpovednost. Odpovedať Známka: -2.4 Hodnotiť:

Re: android vs. iphone Od reg.: K-NinetyNine | Pridané: 16.9.2015 12:31 preto nekupujem samsung. jedna z vyhod androidu (a netvarim sa ze nema aj nevyhody, pretoze ich ma) je, ze mas roznych vyrobcov a vies najst slusny vykon aj za rozumnu cenu. Odpovedať Známka: 6.0 Hodnotiť:

Re: android vs. iphone Od: Hovniak | Pridané: 16.9.2015 23:41 Apple nerobí HW. Skoro všetko im robí niekto iný. Oni robia len dizajn, OS a to co potrebujú navrhnú ale vyrába im to niekto iný v Čine a pod. Však na hodinky im dodával display LG výnimočne (inak Samsung) S1 tiež Samsung. A mobily im vyrába Foxconn. HW v NB majú od intelu,nvidie atď. Aký HW robí Apple? Odpovedať Hodnotiť:

Re: android vs. iphone Od: Tup | Pridané: 17.9.2015 8:28 Apple napríklad designuje svoje čipy. Okrem toho oni špecifikujú, čo ma byť kde, ako rozložené, akú chémiu v batérkách použiť, ako sklo tam dať atď. Inak povedané, oni dajú komplet špecifikácie, dodávateľov atď. a Číňania to už len podľa návodu skladajú. Odpovedať Známka: 10.0 Hodnotiť:

Re: android vs. iphone Od: black belt | Pridané: 17.9.2015 8:56 Áno, Číňania presne podľa Američanmi požadovaného Lean Six Sigma, outsourcujú rozhodovanie o prioritách, byrokraciu a iné papierovačky do offshore lokácie v USA. Ako keď profák zahlási: "Môžete si robiť poznámky." alebo "Napíšete si testík.". Odpovedať Hodnotiť:

Re: android vs. iphone Od: jalala | Pridané: 16.9.2015 10:17 Nesti si do kalhot kamarade, android je dobra platforma a aj tato chyba plati len na droidoch s 5.0 az 5.1.1 takze tak. Chod na net a skul na chyby ktore mala apla pri uvedeni ich noveho iOS a pod. a pritom apla nemusi optimalizovat svoj os na mrte druhov roznych zariadeni, takze do uvahy treba zobrat toto hlavne. Odpovedať Známka: -1.4 Hodnotiť:

Re: android vs. iphone Od: siirii | Pridané: 16.9.2015 11:25 No daj, aké chyby mala Apple pri uvedení ich nového iOS. Niečo ako Androidový Stagefright? Odpovedať Známka: -3.3 Hodnotiť:

Re: android vs. iphone Od: Tup | Pridané: 16.9.2015 11:27 chyby malo aj iOS, no nech nám povie, ako dlho trvá, kým na Androide distribujú fix na aspoň 70% zariadení? Odpovedať Známka: 10.0 Hodnotiť:

Re: android vs. iphone Od: qwertyuiop1 | Pridané: 16.9.2015 11:44 Apple iOS: http://dopice.sk/eJr total 605 vulnerabilities. Google Android: http://dopice.sk/eJs total 54 vulnerabilities. Urcite nie som sam, co si pamata, ze iOS islo jailbreaknut navstivenim web stranky. Odpovedať Známka: 10.0 Hodnotiť:

Re: android vs. iphone Od: syntaxterrorX | Pridané: 16.9.2015 10:22 "mas hranice, mas mantinely, atd." = kúpil si si obmedzenia a platíš za ich udržiavanie= vzdávaš sa svojich práv. Príklad: Ked tu zablokovali IP z ktorej som prispieval, mohol som sa s tým zmieriť. Ale radšej im umožním ju odblokovať. Alebo pokračovať v blokovaní ďalších, až sa dokonale zabezpečia a zakážu všetky. Ja sa nevzdám. Odpovedať Známka: -2.5 Hodnotiť:

Re: android vs. iphone Od: Tup | Pridané: 16.9.2015 10:29 všade máš nejaké mantinely a obmedzenia. Ak chceš plnú slobodu, musíš si vyrobiť vlastný smartphone s vlastným OS Odpovedať Známka: 5.0 Hodnotiť:

Re: android vs. iphone Od: syntaxterrorX | Pridané: 16.9.2015 11:11 Nemám a nemusím. Stačí ho nemať. A podmienky môže človek určovať iba sebe, ako si si aj Ty navrhol svoju predstavu cesty k plnej slobode v príspevku. Odpovedať Známka: 0.0 Hodnotiť:

Re: android vs. iphone Od: Tup | Pridané: 16.9.2015 11:42 Kopa veci je možná na Androide len po jeho rootnotí. Podobne ako pri iOS až po jailbreaku. Mimo toho, finálny produkt je vlastne séria rozhodnutí a obmedzení tvorcov a ty im za to platíš. Za to, že to tlačítko je tu a nie inde. Je takých rozmerov, nie väčšie a nie menšie. Plní takú funkciu a nie inú. Takto sa budú inštalovať aplikácie a také budú API, nie iné. Telefón bude mať taký procesor a nie iný. Nemôžeš si vybrať daný druh telefónu s tým, že ty chceš iný procesor. Ak by si chcel byť úplne bez obmedzení a mať všetko podľa svojej predstavy, musel by si si vyrobiť vlastný telefón s vlastným OS. Odpovedať Hodnotiť:

Re: android vs. iphone Od: syntaxterrorX | Pridané: 16.9.2015 12:19 O finálny produkt, ktorý je vlastne séria rozhodnutí a obmedzení tvorcov, ako zákazník nemám záujem. Keď moje požiadavky neberú do úvahy pri vývoji, môžu si podľa vlastných obmedzení postaviť pre také produkty aj sklad. Rešpektujem Tvoj postoj zmierenia sa s "konfekciou", akurát sa k nemu určite nemienim pripojiť. Preto telefón nemám a ani v Mercedese mi nie sú schopný predajcovia vyhovieť. A preto Ti ani nepíšem, čo musíš a čo nemôžeš. Odpovedať Známka: 3.3 Hodnotiť:

Chyba áno, ale útočníka Od: synter | Pridané: 16.9.2015 10:11 Útočníka s fyzickým prístupom k zariadeniu je možné softwarovo zastaviť len zničením zariadenia a/lebo útočníka. Ale veď koledník si sám koleduje. Proaktívna ochrana sa môže aktivovať aj bez upozornenia. Odpovedať Známka: 10.0 Hodnotiť:

aj apple ma chyby Od: hrr | Pridané: 16.9.2015 11:29 Ako, som androidak, ale neobhajujme neobhajitelne. Stojime pred nechutnou chybou na ktoru niektore telefony update nedostanu vobec, niektore za daleke mesiace a budeme ukazovat prstom ze aj apple je deravy? WTF Odpovedať Známka: 9.0 Hodnotiť:

Re: aj apple ma chyby Od: qwertyuiop1 | Pridané: 16.9.2015 11:45 Tak ale zase kolko ludi pouziva heslo namiesto PIN alebo pattern? Tipujem ze tak 4 na celom svete? Odpovedať Známka: 2.0 Hodnotiť:

Re: aj apple ma chyby Od: Tup | Pridané: 16.9.2015 11:58 keďže Androidov sa predá ročne viac ako miliarda, tak by som povedal že desiatky miliónov určite. Odpovedať Známka: 3.3 Hodnotiť:

Re: aj apple ma chyby Od: Tup | Pridané: 16.9.2015 11:59 obzvlášť medzi ľuďmi pracujúcimi s dôvernejšími informáciami Odpovedať Známka: 4.3 Hodnotiť:

Re: aj apple ma chyby Od: dsfsfzsf | Pridané: 16.9.2015 12:52 napriklad android outlook od M$ mozes pouzit len s heslom, len pin mu je malo bezpecny :-/ Odpovedať Hodnotiť:

Re: aj apple ma chyby Od: qwertyuiop1 | Pridané: 16.9.2015 13:01 To nie je Otlookom pre android, to je nastavenim policy na vasom exchange serveri ;) A kedze v tejto verzii Outlooku ide aj tak vsetko cez servery Microsoftu, vratane hesla, kde ostane ulozene, vyhol by som sa mu velmi, ale velmi velkym oblukom. Odpovedať Známka: 10.0 Hodnotiť:

Re: aj apple ma chyby Od reg.: SedyMrak | Pridané: 16.9.2015 20:52 Presne tak. Náš exchange má nastavené vyžadovanie zabezpečenia telefónu. Nemusí to byť heslo Odpovedať Hodnotiť:

Re: aj apple ma chyby Od: hrr | Pridané: 16.9.2015 14:13 Pomerne casto sa stava, ze ak chces na telefone pracovat s firemnymi datami resp. mat pristup do firemnej siete (kedze sa bavime o smartphone, tak je to vcelku bezne) tak ti firma enforcuje (castokrat cez tooling) zrovna heslo... cize to cislo bude mozno sice zacinat na 4 ale nasledne tam bude par nul a pravdepodobne viac ako 6... Odpovedať Známka: 10.0 Hodnotiť:

Re: aj apple ma chyby Od: qwertyuiop1 | Pridané: 16.9.2015 14:35 Vsak to, zatial som sa stretol iba s enforcovanim PIN. Pretoze pokial by mali useri pri kazdom odomknuti telefonu zadavat heslo, tak sa na to vys*ru a povedia si, ze to pocka, kym sa dostanu k pocitacu. Odpovedať Známka: 10.0 Hodnotiť:

pekne Od: janc1c1 | Pridané: 16.9.2015 13:41 jednoducho povedane, "pekna chyba" Odpovedať Hodnotiť:

Re: pekne Od: syntaxterrorX | Pridané: 16.9.2015 13:52 Dôležité je veriť, že najväčší experti z NSA tvrdo makajú na tom, aby aplikácia pre fotenie bola čo najskôr úplne stabilná. Odpovedať Známka: 10.0 Hodnotiť:

samsung Od: [Jooky] | Pridané: 16.9.2015 17:09 Ja mam Note4 (5.0.1). Copy/Paste je disablovane na lock screene a aj v emergency dialeri. Takze to nebude asi uplne kazdy android telefon :o) ... +do policka na heslo nedovoli donekonecna pisat. Odpovedať Známka: 10.0 Hodnotiť:

Re: samsung Od: ujo Tomas | Pridané: 17.9.2015 8:56 Mam LG g3s a to iste.. Nemozem robit copy-paste, tym padom neuskutocnim utok. Odpovedať Známka: 10.0 Hodnotiť:

Re: samsung Od: hrr | Pridané: 17.9.2015 9:07 Ono to vyzera ze aj (aspon niektore) Xperie su OK. Odpovedať Hodnotiť:

ČOOO? Od: HMMMM | Pridané: 17.9.2015 17:25 Hmmm,apple=Ovce.Android=Šelmy :)Ale nie je to tak jednoduché... Nie všetko je tak,pravdaže... Odpovedať Hodnotiť:

WTF?? Od: ČOOO? | Pridané: 17.9.2015 17:47 Hmm,keď si to tak mám prebrať,tak vznikne problém:Vy dôverujete niekomu,kto vytvára softvérové zázemie Vašich produktov(fotky,sms-ky) a nevadí Vám to,že ten hajzel šmíruje Vaše fotky,videá?Sprostosť na N-tú :) TOť vsio maľčIK :) Odpovedať Hodnotiť:

ANDROID Od: HMMMM | Pridané: 17.9.2015 21:02 Hmmmm a preto nedôverujem ani jednej strane :)Toť vsio,maľčik :) Odpovedať Hodnotiť:

Čooo? Od: HMMMM | Pridané: 17.9.2015 21:04 A to som bol až priveľmi úprimný.... Odpovedať Hodnotiť:

Ha zel Od: HMMMM | Pridané: 17.9.2015 21:14 Nenašiel som hviezdičku,takže tak :)Nefoťte nič,čo by vás mohlo kompromitovať,ani nepíšte :) Ani v androide,ani na iných systémoch... Toť vsio :) Odpovedať Hodnotiť:

Odpoveď Od: HMMMM | Pridané: 17.9.2015 21:47 Toť vsio=A to je všetko,keby ste mi nerozumeli :) Odpovedať Hodnotiť:

Pridať komentár