V mobilnom operačnom systéme Android sa nachádza bezpečnostná chyba, ktorá umožňuje útočníkom vydávať falošné aplikácie s nimi podvrhnutým ľubovoľným kódom za aktualizácie existujúcich aplikácií.
Chybu identifikovala spoločnosť Guard Square.
Bezpečnosť inštalačných súborov aplikácií v Androide sa spolieha na kryptografické podpisy inštalačných balíčkov pomocou zahrnutého certifikátu vývojára. U podpisov sa nevyžaduje aby bol certifikát podpísaný certifikačnou autoritou, certifikáty ale slúžia na autentifikovania aktualizácií aplikácií. Aby bola nová verzia aplikácie považovaná a akceptovaná za aktualizáciu, musí byť podpísaná rovnakým certifikátom ako pôvodná verzia a podpis tak môže vytvoriť len autor pôvodnej verzie.
Kvôli nájdenej chybe CVE-2017-13156 označenej autormi Janus to v skutočnosti ale neplatí.
U donedávna jedinej používanej verzie podpisov, tzv. v1, je totiž možné zobrať legitímny inštalačný APK súbor a vložiť doňho škodlivý kód, ktorý sa pri spustení aplikácie spustí namiesto kódu v APK.
APK súbor je ZIP respektíve JAR archívom, jeho podpis overuje len jednotlivé súbory v tomto pôvodnom archíve a do súboru je možné vložiť iné dáta a súbor stále zostane ZIP súborom akceptovaným Androidom. Takto je doňho možné vložiť dáta v podobe podvrhnutého Android kódu, aby bol súbor zároveň akceptovaným súborom formátu DEX, Dalvik EXecutable. Tento formát používa Android na samotný kód aplikácií.
Útok na Janus zneužíva, že jeden súbor môže pre Android vyzerať zároveň ako APK / ZIP a DEX, kliknite pre zväčšenie (obrázok: Guard Square)
Pri inštalácii Android vzniknutý súbor overuje ako APK súbor a keďže jeho pôvodný obsah je zachovaný, overí ho rovnako ako overuje pôvodný originálny APK a napríklad ho akceptuje za aktualizáciu inštalovanej aplikácie ak bol akceptovaný pôvodný APK súbor. Pri spustení ale virtuálny stroj v Androide považuje súbor za DEX súbor a spustí v skutočnosti kód pridaný útočníkom. Ten sa potenciálne samozrejme môže tváriť ako originálna aplikácia, ale uskutočňovať aj škodlivú činnosť a samozrejme s prístupom k dátam, ku ktorým má prístup táto aplikácia.
Chyba a útok má niekoľko obmedzení. Zraniteľnosť je prítomná od verzie Android 5.0. Zároveň od Androidu 7.0 vydaného v auguste 2016 je v Androide k dispozícii aj nový spôsob podpisovania APK v2, ktorý na túto zraniteľnosť netrpí. Aplikácie, ktoré sú podpísané aj takýmto spôsobom a bežia na Androide 7.0 a novšom, nie sú zraniteľné, keď tu zrejme aktualizácia musí mať aj podpis v2.
Podvrhnutá aplikácia sa nedá podľa objaviteľov šíriť cez Google Play, či tomu tak bolo vždy alebo ochrana bola pridaná po objavení zraniteľnosti nie je jasné.
Podvrhnuté aktualizácie sa dajú ale šíriť inštalovaním z iných zdrojov, čo môžu byť prípadne aj iné obchody s aplikáciami alebo z webu. Jedným zo základných pravidiel bezpečnosti je neinštalovať respektíve nespúšťať kód z nedôveryhodného zdroja. U aplikácií nenachádzajúcich sa v Google Play, ktoré užívateľ aj tak pôvodne inštaloval z iného zdroja, samozrejme aj aktualizácie hľadá z iného zdroja.
Bez existencie chyby Janus by mal užívateľ istotu, že aktualizácia prichádza od rovnakých autorov ako pôvodná verzia respektíve presnejšie od niekoho s prístupom k privátnemu kľúču autorov. To pre chybu Janus neplatí a aj pri sťahovaní aktualizácie je potrebné overovať dôveryhodnosť zdroja rovnako dôsledne ako pri prvej inštalácii danej aplikácie.
Nie je jasné či je číslo verzie aplikácie v podpísaných dátach v APK a či pre vytvorenie falošného inštalačného súboru potrebuje útočník APK novšej verzie ako má inštalované užívateľ. Aktualizáciu totiž Android akceptuje len ak má číslo verzie vyššie ako inštalovaná verzia.
V každom prípade Guard Square chybu nahlásila spoločnosti Google 31. júla, opravená bola v tohtomesačných bezpečnostných aktualizáciách Androidu a ostatní výrobcovia smartfónov dostali aktualizáciu minulý mesiac. Ako Google problém vyriešil oznámenie neinformuje.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
Android
Od reg.: Lukáš Raynor Majer
|
Pridané:
10.12.2017 14:42
Keď vidím ako sa aktualizujú (hlavne staršie a lacnejšie smartphony/tablety) Android zariadenia, dočkám sa updatu? Kedy?
|
| |
Re: Android
Od: man in shadow
|
Pridané:
10.12.2017 14:51
Nedočkáš.
|
| |
Re: Android
Od: sensei-san
|
Pridané:
10.12.2017 14:57
Ale môže si kúpiť nový.
|
| |
Re: Android
Od: man in shadow
|
Pridané:
10.12.2017 14:59
Nechcel som mu to predhodit takto narovinu.
|
| |
Re: Android
Od: syntaxterrorX XX
|
Pridané:
10.12.2017 15:44
Zaujimanie optimistickeho postoja s pozitivnym videnim buducnosti ale dovoluje uprimu a priamu odpoved, ze cakanie urcite skonci.
|
| |
Re: Android
Od: alebo ako sa na to pozrieš
|
Pridané:
10.12.2017 21:51
Evolúcia nectí tradíciu.
Evolúcia stojí na hromade kostí z neúspešných mŕtvol.
|
| |
Re: Android
Od: hmm.
|
Pridané:
11.12.2017 3:58
Takže nebyť tých takzvaných "neúspešných" mŕtvol, nebola by evolúcia.
|
| |
Thedroid
Od: syntaxterrorX XX
|
Pridané:
11.12.2017 5:21
Nie. Len by stála inde. Alebo nestála.
|
| |
Re: Android
Od reg.: Lukáš Raynor Majer
|
Pridané:
10.12.2017 16:48
Jop, čakám zbytočne
Mám Huawei MediaPad M2, LTE verziu, a ten je zaseknutý na Androide 5 (verzia bez LTE modulu dostala aspon šestku)
|
| |
Re: Android
Od: kvetinka1
|
Pridané:
10.12.2017 17:34
update pri androide je zacvakanie vela prachov
pri kazdom priekaznom neupdatovani android zamerne zariadania
od priekazneho vyrobcu , cim nieSte donuteny kupit si vzdy
nove a nove zariadenie , posielam kvety kazdemu android mobilu co sa neda po 2 rokoch uz updatovat a urcite by som si taku znacku uz nekupil , a tak isto neskore updatey ak su na nejaku chybu ... niesu vcas vydane
|
| |
Re: Android
Od: nie updatom
|
Pridané:
10.12.2017 18:02
kokotkom z panelakov nevysvetlis aby neupdatovali oni updatnu a to spomali az na vyjebanie do kosa tak spomali.
mi tu vyskakuje update uz rok jebem nanho mam naistalovane co potrebujem tak nesom nuteni pouzit store keri sa neda pouzit bez updatu ze a nidi neupdatnem aj o 5 rokov mi bude mobil plynuje fungovat lebo neupdatnem nidi!!!!!!!!!!!!!!!!!1
|
| |
Re: Android
Od: 7755875875
|
Pridané:
11.12.2017 11:38
Ani Apple zariadenia sa nedajú dlhodobo apdejtovať. Nehovoriac o tom ako iOs 11 odpálil niektoré staršie zariadenia. Pri Androide je výhodou aspoň to, že za 250 E si človek môže kúpiť kvalitný funkčný nesekajúci nový mobil s novým OS. Výhodou je aj trend prechádzania na čistý Android.
|
| |
Re: Android
Od: taglajf
|
Pridané:
11.12.2017 8:26
ak mas "trashove" znacky tak nikdy, ak mas drahsie telefony znackovych vyrobcov tak mozno o par tyzdnov
|
| |
Re: Android
Od: 778665875
|
Pridané:
11.12.2017 11:33
install LineageOS
|
| |
Re: Android
Od: neo13
|
Pridané:
13.12.2017 20:28
Necakaj na darovamne UPDATE a ries to ako profik. PREINSTALUJ spravny OS ziskas vyssiu verziu Androidu bez prebytocnych aplikacii a na ten ti budu chodit tsale aktualizacie. S4 Android 4.4 je max. a aktualizacie uz nebudu. Teraz mam CyanogenMOD, Lineage 14 Android 7.1 a stale vychadza UPDATE a nove OS.
|
| |
ach jaj
Od: nemo22
|
Pridané:
10.12.2017 14:50
Vzdy ma potom fascinuje ked ludia okolo mna hovoria o roznych velkych korporaciach a ich produktoch ze to urcite musia mat premyslene a ze sak na tom pracuje kvantum ludi tak predsa ich produkt musi byt tip top. Ani stipka podozrenia alebo aspon jemneho overenia ci su veci naozaj tak ako vyrobca tvrdi. Samozrejme clovek nemoze vsetko overovat ale ludia su tak dovercivy aj v kritickych veciach ze nechapem. Ako mohla prejist takato blbost to nepochopim.Toto nieje ani nejake sofistikovane injektovanie kodu, proste do zipu pribalim trochu bordelu...
|
| |
Re: ach jaj
Od: man in shadow
|
Pridané:
10.12.2017 14:53
Keď Indický programátor ťahá nonstop 16-ky sa nečuduj že sem tam spraví takúto chybu.
|
| |
Re: ach jaj
Od: dietny suchar
|
Pridané:
10.12.2017 15:29
ked vsetci slovenski pracuju na eurotuneloch a tamtung ich nechce ani tak z polovice zaplatit, tak neostava nic len indian
|
| |
Re: ach jaj
Od: sensei-san
|
Pridané:
10.12.2017 15:00
> ludia okolo mna hovoria o roznych velkych korporaciach
> a ich produktoch ze to urcite musia mat premyslene a
> ze sak na tom pracuje kvantum ludi tak predsa ich
> produkt musi byt tip top …
… ale my, čo to píšeme, vieme aké sú to s*ačky.
|
| |
Re: ach jaj
Od: syntaxterrorX XX
|
Pridané:
10.12.2017 18:58
Presne od toho je timlid, aby kazdeho, kto podava 100% vykon vyrazil kamsi do menezmentu, kde to nevadi.
|
| |
Re: ach jaj
Od: zvastovnik
|
Pridané:
11.12.2017 8:05
Korporacie chyby nerobia? Tak isto ako u ludi si horsie a lepsie produkty a ziadny nebude 100%tny.
|
| |
Akože ako?
Od: Jakub z krajiny divov
|
Pridané:
10.12.2017 14:51
Nepoužíva android už dlhšie ART namiesto Dalvik?
|
| |
Re: Akože ako?
Od: man in shadow
|
Pridané:
10.12.2017 14:57
Iba tipujem ale asi až od verzie 7.0
|
| |
Re: Akože ako?
Od: Spixy
|
Pridané:
10.12.2017 16:24
ART je od 5.0
|
| |
Re: Akože ako?
Od: Matejkosko
|
Pridané:
10.12.2017 17:32
Je od 5, ale default je Dalvik. Pri 6 stale bežala rezerva na pozadí Dalvik, keby ART padol, čo sa stávalo na 6 dosť často.
|
| |
brain
Od: kingofthebongo
|
Pridané:
10.12.2017 17:23
Chyba v mojom mozgu si umoznuje dat sedemnaste bongo
|
| |
Re: brain
Od: čitateľ
|
Pridané:
10.12.2017 17:32
Mama was queen of the mambo
Papa was king of the Congo
|
| |
Re: brain
Od: ...
|
Pridané:
11.12.2017 0:22
Every monkey'd like to be in my place instead of me
:)
|
| |
Re: brain
Od: Freak
|
Pridané:
11.12.2017 10:52
Mama was queen of the mambo
Papa was king of the Bongo
|
| |
Re: brain
Od: syntaxterrorX XX
|
Pridané:
10.12.2017 17:34
len zrovna ten je spojeny s takym reptilianom, ze moze byt iba svoj.
|
| |
Re: brain
Od reg.: nemam a nebudem mat
|
Pridané:
10.12.2017 18:07
nerob chute
|
| |
Re: brain
Od: oaaaaaah
|
Pridané:
10.12.2017 21:09
Preco, preco vo VW kontroluju na drogy??? A odvtedy som cisty... :/
|
| |
Re: brain
Od: brain
|
Pridané:
10.12.2017 21:38
By ta vyhodili za thc hej? :D a to ze sa polka naroda niekolko tyzdnov do roka otravi alkoholom to je fajn...
|
| |
Re: brain
Od: ComeToDaddy
|
Pridané:
10.12.2017 21:57
Berte drogy,fetujte,chlastajte.A hlavne pičujte na seba :)
|
| |
Re: brain
Od: oaaaaaah
|
Pridané:
11.12.2017 22:41
Ano. Dokonca vraj k tomu dozivotny zakaz vstupu do arealu. Normalne do smutku toto... :/
|
| |
Re: brain
Od: Freak
|
Pridané:
11.12.2017 10:54
And remember: "Hugs, no drugs!"
|
| |
Krok sun krok
Od: rejdovy tanec
|
Pridané:
10.12.2017 21:42
Krok sun krok, prd sun prd.
|
| |
raduz
Od: pan kokot
|
Pridané:
10.12.2017 22:37
linuuux voeee
|
| |
Re: raduz
Od: ...
|
Pridané:
11.12.2017 0:23
Kokot, ty si pán!
|
| |
Re: raduz
Od: pan kokot
|
Pridané:
11.12.2017 1:26
na tom zakladam!
|
| |
iassas
Od: Agafg
|
Pridané:
10.12.2017 23:04
Áno, osobne by som v prípade google už dávno nechal zadné vrátka v Androide, aby jadro bolo aktualizované nezávisle od nadstavby. Tým pádom by bol "jeden" centralizovaný server odkial sa aktualizuje len jadro s opravami a nedotklo by sa nadstavieb a úprav. Tým by sa vyriešilo aktualizovanie starých telefónov na ktoré výrobcovia iebú.
Neviem však čo by to spôsobilo, nevidím do toho. Proste to hovorím ako konzument ktorý si niečo také vie predstaviť a má jednoducho zabezpečený telefón.
|
| |
Re: iassas
Od: gdhgh
|
Pridané:
11.12.2017 2:34
Yop, fakt do toho nevidis.
|
| |
Re: iassas
Od: bzano
|
Pridané:
11.12.2017 8:36
chlapeeee
verzia jadra je to najmenej dolezite na androide
vacsina funkcnosti a aj chýb je v tej jave co bezi nad tým jadrom
|
| |
Re: iassas
Od: .....
|
Pridané:
11.12.2017 11:41
Vrátka, kvalitné, si nechávajú len niektoré čínske MT. Hardvérové, priamo na MB.
|
| |
Inzerat
Od: Stary Bruna
|
Pridané:
11.12.2017 5:05
Predám kvalitné certifikáty pre Android overené NBU /nbusr123:)/
1ks za 1 bitcoitus.peace on Earth.
|
| |
5znak
Od: XMen
|
Pridané:
11.12.2017 9:20
Hmm to mi nevadi. Ja pouzivam android 2.3 pre neho sa uz ani malware nepise.
|
neprihlásený 
