Image
1.8.2014 0 Comments

Riadna hanba. Android už niekoľko rokov obsahuje závažnú zraniteľnosť

android.jpg Väčšina zariadení s operačným systémom Google Android je náchylná na prienik do systému, vďaka ktorému sa útočníci môžu dostať k platobnej histórii, e-mailom a ďalším citlivým dátam.

Táto nebezpečná chyba je v Androide podľa expertov zo spoločnosti Bluebox Security prítomná už od vydania verzie 2.1 na začiatku roku 2010. Analytici ju prezývajú Fake ID, pretože podobne ako napríklad falošný občiansky preukaz napomáha mladistvým pri kúpe alkoholu, toto slabé miesto umožňuje nebezpečným aplikáciám prístup k špeciálnym funkciám Androidu, ktoré sú normálne zakázané. Vývojári z Googlu v uplynulých rokoch predstavili zmeny, ktoré obmedzujú niektoré z možných škôd, ktoré môžu tieto nebezpečné aplikácie napáchať. Kľúčová zraniteľnosť je však v systéme stále (a to aj v testovacej verzii chystaného Androidu L).

Chyba Fake ID zneužíva zlyhanie Androidu pri overovaní platnosti kryptografických certifikátov, ktoré sprevádzajú každú aplikáciu nainštalovanú v zariadení. Operačný systém sa spolieha na údaje pri rozdeľovaní špeciálnych oprávnení, ktoré umožňujú niekoľkým aplikáciám fungovať mimo sandboxu Androidu.

Za normálnych okolností sandbox zamedzuje aplikáciám, aby pristupovali k dátam, ktoré patria iným aplikáciám, alebo k citlivým častiam systému. Vybrané aplikácie typu Adobe Flash či Google Wallet však môžu fungovať aj mimo sandboxu. Podľa Jeffa Forristala z Bluebox Security zlyháva Android pri overovaní reťazca certifikátov, ktoré sa využívajú na overenie toho, či aplikácia patrí medzi privilegované aplikácie s rozšírenými právami.

V dôsledku toho môže škodlivá aplikácia obsahovať neplatný certifikát, ktorý bude tvrdiť, že ide napríklad o Flash, a Android jej priradí tie isté špeciálne privilégiá, aké by priradil legitímnej aplikácii - legitimitu certifikátu OS jednoducho neskúma. „Potom už len stačí, aby sa koncový používateľ rozhodol nainštalovať falošnú aplikáciu, a je prakticky koniec hry," upozorňuje Forristal. „Trójsky kôň ihneď prenikne zo sandboxu a začne kradnúť osobné dáta."

Zmeny v Androide 4.4 obmedzujú niektoré privilégiá, ktoré Android Flashu prideľuje. Aj tak však podľa Forristala zlyhanie pri overení reťazca certifikátov je v Androide od verzie 2.1. „Po preverení celej veci sme rýchlo svojim partnerom distribuovali opravu a preverili sme všetky aplikácie v Google Play a nemáme žiadne dôkazy o tom, že by zneužívanie tejto zraniteľnosti aktívne prebiehalo," uviedol hovorca Googlu v reakcii na obvinenia expertov z Bluebox Security. Zatiaľ však nie je jasné, akým spôsobom Google svoju niekoľko rokov starú chybu opravil alebo či jeho partneri už aktualizáciu distribuujú koncovým používateľom.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Bezpečnosť

Pravidlá ochrany súkromia budú platiť aj pre WhatsApp, Facebook Messenger, Skype, Gmail, iMessage a Viber

12.01.2017 00:12

Stále viac Európanov komunikuje elektronicky. Na dennej alebo takmer dennej báze používa mobil na telefonovanie a písanie správ 74 percent Európanov. Internet denne využíva 60 percent a e-maily posiel ...

Bezpečnosť

KillDisk útočí už aj na operačný systém Linux, ako výkupné za odšifrovanie dát chce 200-tisíc eur

10.01.2017 00:24

Výskumníci z bezpečnostnej spoločnosti ESET objavili variant škodlivého kódu KillDisk, ktorý útočí aj na operačný systém Linux. KillDisk je škodlivý kód, ktorý bol na sklonku roka 2015 použitý pri úto ...

Žiadne komentáre

Vyhľadávanie

qubitconference

Najnovšie videá