Показано с 1 по 1 из 1.

В Android обнаружена серьезная уязвимость

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,800
    Вес репутации
    141

    В Android обнаружена серьезная уязвимость

    Специалисты компании Bluebox Labs раскрыли информацию об уязвимости в Android, позволяющую злоумышленникам получать доступ к функциям сматфонов и планшетов и хранящимся на них личным данным без разрешения пользователя. Три месяца назад Bluebox Labs известила Google об этой уязвимости, и компания тут же выпустила патч для ее устранения.
    Тем не менее, миллионы пользователей остаются в зоне риска. Дело в том, что уязвимость была устранена лишь в последней версии Android, а в версиях начиная с 2.1 (Eclair) и вплоть до 4.3.1 (Jelly Bean) она по-прежнему присутствует. Версия 2.1 была выпущена в январе 2010 г.
    В англоязычных изданиях «дыру», найденную Bluebox Labs, назвали «суперуязвимостью нового типа», видимо, потому что она может привести к распространению чрезвычайно вредоносного ПО.
    Сами аналитики BlueBox наывают ее Fake ID («поддельное удостоверение»), потому что она позволяет обмануть систему цифровых подписей (сертификатов) приложений и выдать вредоносное приложение за приложение официального поставщика, которому пользователь уже разрешил доступ к системе.
    Проблема заключается в самом процессе проверки сертификатов, объяснил в блоге компании технический директор Bluebox Labs Джефф Фористал (Jeff Forristal). В качестве примера он привел ситуацию, когда грабитель подходит к охране и предъявляет поддельный пропуск, а охрана, взглянув на пропуск, пускает его в здание, не удосужившись сделать контрольный звонок в службу, которая выдает удостоверения.
    «Android не проверяет, действительно ли дочерняя цифровая подпись связана с родительской цифровой подписью, а просто безоговорочно доверяет этому утверждению. Это фундаментальная проблема самой операционной системы», — говорит Фористал.
    Например, приложение объявляет системе, что оно было создано компанией Adobe Systems, приводит пример эксперт. Android это утверждение не проверяет и наделяет приложение привилегиями, доступными официальным приложениям от Adobe. В результате хакер может внедрить в систему вредоносный код, прикрываясь плагином Flash. Другой пример заключается в использовании сертификата приложения Google Wallet, имеющего доступ к функции NFC.
    Или, например, злоумышленник может воспользоваться правами программного обеспечения 3LM, которое HTC, Sony, Sharp и Motorola использовали для кастомизации графических оболочек на выпускаемых устройствах. Получив привилегии 3LM, злоумышленник может получить права на совершение всех действий, которые разрешены 3LM, включая удаление и установку приложений любого содержания.
    Подобная уязвимость обнаруживается в Android не в первый раз. В июле 2014 г. специалисты этой же компании, Bluebox, нашли в операционной системе баг, позволяющий хакеру модифицировать код установочного APK-файла и превратить в троян любое подлинное приложение. Как сообщили эксперты, данная ошибка существует на 900 млн устройств под управлением разработанной Google операционной системы.

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. В протоколе HTTPS обнаружена серьезная уязвимость
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 02.08.2013, 13:00
  2. Обнаружена серьезная уязвимость в ICQ
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 29.07.2011, 16:30
  3. Обнаружена серьезная уязвимость в ОС Android
    От Ilya Shabanov в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 26.11.2010, 15:00
  4. В Glibc обнаружена серьезная уязвимость
    От olejah в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 20.10.2010, 19:17
  5. Серьезная уязвимость обнаружена в протоколах TLS и SSL
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 06.11.2009, 14:05

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00972 seconds with 18 queries