Image
1.8.2014 0 Comments

Riadna hanba. Android už niekoľko rokov obsahuje závažnú zraniteľnosť

android.jpg Väčšina zariadení s operačným systémom Google Android je náchylná na prienik do systému, vďaka ktorému sa útočníci môžu dostať k platobnej histórii, e-mailom a ďalším citlivým dátam.

Táto nebezpečná chyba je v Androide podľa expertov zo spoločnosti Bluebox Security prítomná už od vydania verzie 2.1 na začiatku roku 2010. Analytici ju prezývajú Fake ID, pretože podobne ako napríklad falošný občiansky preukaz napomáha mladistvým pri kúpe alkoholu, toto slabé miesto umožňuje nebezpečným aplikáciám prístup k špeciálnym funkciám Androidu, ktoré sú normálne zakázané. Vývojári z Googlu v uplynulých rokoch predstavili zmeny, ktoré obmedzujú niektoré z možných škôd, ktoré môžu tieto nebezpečné aplikácie napáchať. Kľúčová zraniteľnosť je však v systéme stále (a to aj v testovacej verzii chystaného Androidu L).

Chyba Fake ID zneužíva zlyhanie Androidu pri overovaní platnosti kryptografických certifikátov, ktoré sprevádzajú každú aplikáciu nainštalovanú v zariadení. Operačný systém sa spolieha na údaje pri rozdeľovaní špeciálnych oprávnení, ktoré umožňujú niekoľkým aplikáciám fungovať mimo sandboxu Androidu.

Za normálnych okolností sandbox zamedzuje aplikáciám, aby pristupovali k dátam, ktoré patria iným aplikáciám, alebo k citlivým častiam systému. Vybrané aplikácie typu Adobe Flash či Google Wallet však môžu fungovať aj mimo sandboxu. Podľa Jeffa Forristala z Bluebox Security zlyháva Android pri overovaní reťazca certifikátov, ktoré sa využívajú na overenie toho, či aplikácia patrí medzi privilegované aplikácie s rozšírenými právami.

V dôsledku toho môže škodlivá aplikácia obsahovať neplatný certifikát, ktorý bude tvrdiť, že ide napríklad o Flash, a Android jej priradí tie isté špeciálne privilégiá, aké by priradil legitímnej aplikácii - legitimitu certifikátu OS jednoducho neskúma. „Potom už len stačí, aby sa koncový používateľ rozhodol nainštalovať falošnú aplikáciu, a je prakticky koniec hry," upozorňuje Forristal. „Trójsky kôň ihneď prenikne zo sandboxu a začne kradnúť osobné dáta."

Zmeny v Androide 4.4 obmedzujú niektoré privilégiá, ktoré Android Flashu prideľuje. Aj tak však podľa Forristala zlyhanie pri overení reťazca certifikátov je v Androide od verzie 2.1. „Po preverení celej veci sme rýchlo svojim partnerom distribuovali opravu a preverili sme všetky aplikácie v Google Play a nemáme žiadne dôkazy o tom, že by zneužívanie tejto zraniteľnosti aktívne prebiehalo," uviedol hovorca Googlu v reakcii na obvinenia expertov z Bluebox Security. Zatiaľ však nie je jasné, akým spôsobom Google svoju niekoľko rokov starú chybu opravil alebo či jeho partneri už aktualizáciu distribuujú koncovým používateľom.

Zdroj: ComputerWorld


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá