Riadna hanba. Android už niekoľko rokov obsahuje závažnú zraniteľnosť

Väč­ši­na za­ria­de­ní s ope­rač­ným sys­té­mom Goog­le An­droid je ná­chyl­ná na prie­nik do sys­té­mu, vďa­ka kto­ré­mu sa útoč­ní­ci mô­žu dos­tať k pla­tob­nej his­tó­rii, e-mai­lom a ďal­ším cit­li­vým dá­tam.

Tá­to ne­bez­peč­ná chy­ba je v An­droi­de pod­ľa exper­tov zo spo­loč­nos­ti Blue­box Se­cu­ri­ty prí­tom­ná už od vy­da­nia ver­zie 2.1 na za­čiat­ku ro­ku 2010. Ana­ly­ti­ci ju pre­zý­va­jú Fa­ke ID, pre­to­že po­dob­ne ako nap­rík­lad fa­loš­ný ob­čian­sky preu­kaz na­po­má­ha mla­dis­tvým pri kú­pe al­ko­ho­lu, to­to sla­bé mies­to umož­ňu­je ne­bez­peč­ným ap­li­ká­ciám prís­tup k špe­ciál­nym fun­kciám An­droi­du, kto­ré sú nor­mál­ne za­ká­za­né. Vý­vo­já­ri z Goog­lu v up­ly­nu­lých ro­koch pred­sta­vi­li zme­ny, kto­ré ob­me­dzu­jú niek­to­ré z mož­ných škôd, kto­ré mô­žu tie­to ne­bez­peč­né ap­li­ká­cie na­pá­chať. Kľú­čo­vá zra­ni­teľ­nosť je však v sys­té­me stá­le (a to aj v tes­to­va­cej ver­zii chys­ta­né­ho An­droi­du L).

Chy­ba Fa­ke ID zneu­ží­va zly­ha­nie An­droi­du pri ove­ro­va­ní plat­nos­ti kryp­tog­ra­fic­kých cer­ti­fi­ká­tov, kto­ré spre­vá­dza­jú kaž­dú ap­li­ká­ciu nain­šta­lo­va­nú v za­ria­de­ní. Ope­rač­ný sys­tém sa spo­lie­ha na úda­je pri roz­de­ľo­va­ní špe­ciál­nych op­ráv­ne­ní, kto­ré umož­ňu­jú nie­koľ­kým ap­li­ká­ciám fun­go­vať mi­mo san­dboxu An­droi­du.

Za nor­mál­nych okol­nos­tí san­dbox za­me­dzu­je ap­li­ká­ciám, aby pris­tu­po­va­li k dá­tam, kto­ré pa­tria iným ap­li­ká­ciám, ale­bo k cit­li­vým čas­tiam sys­té­mu. Vy­bra­né ap­li­ká­cie ty­pu Ado­be Flash či Goog­le Wallet však mô­žu fun­go­vať aj mi­mo san­dboxu. Pod­ľa Jef­fa Forris­ta­la z Blue­box Se­cu­ri­ty zly­há­va An­droid pri ove­ro­va­ní re­ťaz­ca cer­ti­fi­ká­tov, kto­ré sa vy­uží­va­jú na ove­re­nie to­ho, či ap­li­ká­cia pat­rí me­dzi pri­vi­le­go­va­né ap­li­ká­cie s roz­ší­re­ný­mi prá­va­mi.

V dôs­led­ku to­ho mô­že škod­li­vá ap­li­ká­cia ob­sa­ho­vať nep­lat­ný cer­ti­fi­kát, kto­rý bu­de tvr­diť, že ide nap­rík­lad o Flash, a An­droid jej pri­ra­dí tie is­té špe­ciál­ne pri­vi­lé­giá, aké by pri­ra­dil le­gi­tím­nej ap­li­ká­cii - le­gi­ti­mi­tu cer­ti­fi­ká­tu OS jed­no­du­cho nes­kú­ma. „Po­tom už len sta­čí, aby sa kon­co­vý pou­ží­va­teľ roz­ho­dol nain­šta­lo­vať fa­loš­nú ap­li­ká­ciu, a je prak­tic­ky ko­niec hry," upo­zor­ňu­je Forris­tal. „Trój­sky kôň ih­neď pre­nik­ne zo san­dboxu a za­čne krad­núť osob­né dá­ta."

Zme­ny v An­droi­de 4.4 ob­me­dzu­jú niek­to­ré pri­vi­lé­giá, kto­ré An­droid Flas­hu pri­de­ľu­je. Aj tak však pod­ľa Forris­ta­la zly­ha­nie pri ove­re­ní re­ťaz­ca cer­ti­fi­ká­tov je v An­droi­de od ver­zie 2.1. „Po pre­ve­re­ní ce­lej ve­ci sme rých­lo svo­jim par­tne­rom dis­tri­buo­va­li op­ra­vu a pre­ve­ri­li sme všet­ky ap­li­ká­cie v Goog­le Play a ne­má­me žiad­ne dô­ka­zy o tom, že by zneu­ží­va­nie tej­to zra­ni­teľ­nos­ti ak­tív­ne pre­bie­ha­lo," uvie­dol ho­vor­ca Goog­lu v reak­cii na ob­vi­ne­nia exper­tov z Blue­box Se­cu­ri­ty. Za­tiaľ však nie je jas­né, akým spô­so­bom Goog­le svo­ju nie­koľ­ko ro­kov sta­rú chy­bu op­ra­vil ale­bo či je­ho par­tne­ri už ak­tua­li­zá­ciu dis­tri­buu­jú kon­co­vým pou­ží­va­te­ľom.

Zdroj: Com­pu­terWorld


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter