Исследовательская группа Bluebox Security Labs недавно обнаружила уязвимость в модели обеспечения безопасности Android, которая позволяет изменить код приложения .apk, не повреждая криптографическую подпись приложения. Таким образом можно превращать любое подписанное приложение в троянскую программу. Причем подмены абсолютно никто не заметит. Ни Play Market, ни телефон, ни пользователь.
Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета.
Внедрение кода в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным). У приложения тогда будет возможность не только считывать произвольные данные приложения на устройстве (электронная почта, SMS-сообщения, документы, и т.д.), но и будет шанс получить доступ к сохраненным паролям. Причем это не помешает нормально функционировать телефону и управлять любой функцией (сделать произвольные телефонные вызовы, отправить произвольные SMS-сообщения, включить камеру и записать вызов). Наконец, можно создать целый ботнет.
Как это работает:
Все приложения Android имеют криптографические подписи, которые позволяют операционной системе Android определить и проверить — вмешались ли в код программы или нет. Когда приложение установлено, то для него создается песочница, Android записывает цифровую подпись этого приложения. Все последующие обновления для приложения должны соответствовать этой самой подписи, чтобы проверить, что оно от того же автора.
Уязвимость использует несоответствие, которое допускается при модификации приложения APK, при этом не повреждая криптографическую подпись приложения. Простыми словами, уязвимость позволяет обмануть Android и он будет думать, что приложение не было изменено.
В своей презентации Джефф расскажет о баге 8219321 в Android OS, о котором он сообщил в Google в феврале этого года, и об эксплойте, который работает практически на всех Android-устройствах, независимо от их возраста.
Снимок экрана демонстрирует, что Bluebox Security изменили приложение от производителя так, что теперь у них есть полный доступ к устройству. В данном случае компания изменила информацию о программном обеспечении устройства.
Злоумышленники могут использовать множество методов, чтобы распространить такие троянские приложения, включая отправку их по электронной почте, загружая их на сторонний Маркет, размещая их на любом веб-сайте. Некоторые из этих методов, особенно сторонние репозитории приложений, уже используются, чтобы распространить вредоносное программное обеспечение для Android. Используя Google Play, чтобы распространить приложение, которые было изменено, — не получится. Потому что Google обновил процесс записи приложения в Маркет, дабы блокировать приложения, которые содержат эту проблему.
Между прочим, Google был уведомлен относительно уязвимости еще в феврале, и компания поделилась информацией с их партнерами. И теперь партнерам нужно решить, когда выпустить обновление для устройств. Форристэл подтвердил, что одно устройство, Samsung S4, уже имеет заплатку, которая демонстрирует, что некоторые производители устройств уже начали выпускать патчи. Google еще не выпустил патч для своих Nexus устройств, но компания работает над этим.
Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета.
Внедрение кода в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным). У приложения тогда будет возможность не только считывать произвольные данные приложения на устройстве (электронная почта, SMS-сообщения, документы, и т.д.), но и будет шанс получить доступ к сохраненным паролям. Причем это не помешает нормально функционировать телефону и управлять любой функцией (сделать произвольные телефонные вызовы, отправить произвольные SMS-сообщения, включить камеру и записать вызов). Наконец, можно создать целый ботнет.
Как это работает:
Все приложения Android имеют криптографические подписи, которые позволяют операционной системе Android определить и проверить — вмешались ли в код программы или нет. Когда приложение установлено, то для него создается песочница, Android записывает цифровую подпись этого приложения. Все последующие обновления для приложения должны соответствовать этой самой подписи, чтобы проверить, что оно от того же автора.
Уязвимость использует несоответствие, которое допускается при модификации приложения APK, при этом не повреждая криптографическую подпись приложения. Простыми словами, уязвимость позволяет обмануть Android и он будет думать, что приложение не было изменено.
В своей презентации Джефф расскажет о баге 8219321 в Android OS, о котором он сообщил в Google в феврале этого года, и об эксплойте, который работает практически на всех Android-устройствах, независимо от их возраста.
Снимок экрана демонстрирует, что Bluebox Security изменили приложение от производителя так, что теперь у них есть полный доступ к устройству. В данном случае компания изменила информацию о программном обеспечении устройства.
Злоумышленники могут использовать множество методов, чтобы распространить такие троянские приложения, включая отправку их по электронной почте, загружая их на сторонний Маркет, размещая их на любом веб-сайте. Некоторые из этих методов, особенно сторонние репозитории приложений, уже используются, чтобы распространить вредоносное программное обеспечение для Android. Используя Google Play, чтобы распространить приложение, которые было изменено, — не получится. Потому что Google обновил процесс записи приложения в Маркет, дабы блокировать приложения, которые содержат эту проблему.
Между прочим, Google был уведомлен относительно уязвимости еще в феврале, и компания поделилась информацией с их партнерами. И теперь партнерам нужно решить, когда выпустить обновление для устройств. Форристэл подтвердил, что одно устройство, Samsung S4, уже имеет заплатку, которая демонстрирует, что некоторые производители устройств уже начали выпускать патчи. Google еще не выпустил патч для своих Nexus устройств, но компания работает над этим.
Комментарии20
0 0
надо будет поиздеваться над смартом...
--
Соответственно, никакую сумму MS вы вообще не платите, ни прямо, ни косвенно. *tritus
0 0
Да что ж это за вирусы такие, которые опять надо в инете искать и руками ставить
Не, я не спорю, уязвимость серъезная. Но пока правило "софт только из маркета" работает.
Не, я не спорю, уязвимость серъезная. Но пока правило "софт только из маркета" работает.
0 0
Это не уязвимость. Это специально сделанный люк.
0 0
Создан англоязычный сайт Kingsoft/WPS Office, развиваемого в Китае офисного пакета для Linux
Я тут как-то кидал новость, вот теперь официальное подтверждение. До этого лишь анонс был без ссылки на оф сайт.
Я тут как-то кидал новость, вот теперь официальное подтверждение. До этого лишь анонс был без ссылки на оф сайт.
0 0
Да что ж это за вирусы такие, которые опять надо в инете искать и руками ставитьа вы что думали что они сами поставятся! Это ж СЛОР!
--
Соответственно, никакую сумму MS вы вообще не платите, ни прямо, ни косвенно. *tritus
0 0
Создан англоязычный сайт Kingsoft/WPS Office, развиваемого в Китае офисного пакета для LinuxИ что с того Ну, доделают китаёзы свой офис - и тогда OOo/LO загнётся окончательно.
Я тут как-то кидал новость, вот теперь официальное подтверждение. До этого лишь анонс был без ссылки на оф сайт.
0 0
И что с того Ну, доделают китаёзы свой офис - и тогда OOo/LO загнётся окончательно.Этот офис платный. Но значительно дешевле чем некросовт офес.
0 0
эта уязвимость "компот", по сравнению с новостью http://www.opennet.ru/opennews/art.shtmlnum=37345
на ЛОРе линуксоиды дружно "не взлетит и не надо отпугивать людей от линукса"
а как обзор на сайте вспомню, то этот дистрибутив нашел чему ровняется
на ЛОРе линуксоиды дружно "не взлетит и не надо отпугивать людей от линукса"
а как обзор на сайте вспомню, то этот дистрибутив нашел чему ровняется
--
Тут люди постоянно мечтают об аналоге винды, но никто не может объяснить, зачем он нужен, если винда уже есть.
0 0
Этот офис платный.Если ты полазишь по официальному сайту, то обнаружишь, что там есть и бесплатные версии.
Но значительно дешевле чем некросовт офес.Во-первых, MSO 2013 для дома и учёбы, содержащий аналогичные программы, стоит всего на 500 рублей дороже. Как-то не очень значительно. Все остальные версии MSO предоставляют пользователю гораздо больший функционал, чем Kingsoft Office. Например, в составе Kingsoft Office нет СУБД. Вообще нет. Во-вторых, Kingsoft Office предоставляет пользователям, от силы, десятую часть возможностей аналогичных программ пакета MSO. А может, и меньше - я полный анализ не выполнял, так, по верхам поглядел. На рутрекере можно скачать крякнутую версию и ознакомиться с содержимым пакета. В-третьих, из-за отсутствия функционала у Kingsoft Office неполная совместимость с документами MSO - при открытии документа этот офис "незнакомые" места просто игнорирует. Например, открываешь в KO Writer документ MS Word с формулами - а никаких формул там нет. KO Writer их просто удалил как незнакомые ему включения! В-четвёртых, русского языка в Kingsoft Office я пока не видел. Только английский и китайский. Поэтому очень большой вопрос - будут ли покупать Kingsoft Office в России И нужен ли он в таком сыром виде за рубежом хоть кому-то кроме китайцев
0 0
Kingsoft Office нет поддержки ODF, значит это уже не опенсорц
--
Тут люди постоянно мечтают об аналоге винды, но никто не может объяснить, зачем он нужен, если винда уже есть.
0 0
MOP3E, ты так расписался подробно, но ты не понял одного WPS Office for Linux. Смешно читать твои рассуждения про 500 рублей _виндового_ офеса, ты вообще дебил или только притворяешься
Ты мне еще Wine порекомендуй для запуска лицензионного мсофеса за 500 рублей.
Ты мне еще Wine порекомендуй для запуска лицензионного мсофеса за 500 рублей.
0 0
А я вот пользуюсь ms офиссом и не жужжу . Всяко лучше поделий )))
--
Walking In My Shoes
0 0
WPS Office for LinuxИ что
Смешно читать твои рассуждения про 500 рублей _виндового_ офеса, ты вообще дебил или только притворяешьсяДа нет, дебилом тут ты работаешь. Штатным дебилом СЛОРа. Объясню по пунктам:
Во-первых, под линух они раздают вообще альфа-версию. Она по определению не может быть платной, потому что альфа. Хотя, наверное, очень удобно - и беслпатное тестирование, и жопу Столлману лизнули. Поэтому по-любому сравнивать цены (о которых ты первым заговорил) придётся у офисов для винды. Из которых Kingsoft продаёт два варианта - Standard и Professional.
Во-вторых, MSO прекрасно работает под вайном. ЧСХ - любая версия. Что позволяет особо упоротым лунходам даже доказывать, что под линухом есть MSO. И даже заниматься этим на данном сайте. Я же всего лишь повторяю их слова. :)
0 0
Всяко лучше поделий )))+100500
0 0
Уйазвимости и тройяны в андроиде - как гомосексуалисты...все о них говорят, но никто никого среди своих знакомых не знает. Дайте хоть линк на вирус, попробую на телефоне!! Я хочу лично убедиться, что разговоры об уязвимостях и троянах в андроиде - не пустой трёп базарной вендобабки. Ради такого дела даже телефона не жалко!
0 0
Уйазвимости и тройяны в андроиде - как гомосексуалисты...все о них говорят, но никто никого среди своих знакомых не знает. Дайте хоть линк на вирус, попробую на телефоне!! Я хочу лично убедиться, что разговоры об уязвимостях и троянах в андроиде - не пустой трёп базарной вендобабки. Ради такого дела даже телефона не жалко!Ссылки в гуггле, а так ОЛОЛОЛОЛ!
И вообще, поприветствуем новгого ПЫАНЕРА!
0 0
R.E.D., харашо паприведсдфуй, огдяпрйоныг
0 0
харашо паприведсдфуй, огдяпрйоныгТы таки не пЫанер, ты талпайоп.
-
# 04 июля 2013 09:40:43
0 0