Вход |  Регистрация
 
 
Время электроники Понедельник, 5 декабря
 
 


Это интересно!

Новости


Обзоры, аналитика


Интервью, презентации

Ранее

СМИ: китайские смартфоны тайком передают данные на серверы в КНР

Журналисты выяснили, что популярный китайский смартфон Xiaomi RedMi, недавно поступивший в продажу, тайно передает фотографии и тексты на серверы в Китай.

Россия защитит Рунет от кибератак

Российские ведомства разработают комплекс мер по защите российского сегмента Интернета от «негативного целенаправленного воздействия», сообщило Минкомсвязи РФ.

МВД потратит 70 млн руб., чтобы уничтожить приватность в Рунете

МВД проводит ряд закрытых конкурсов на проведение исследований и поставку оборудования, относящихся к обнаружению анонимных пользователей Интернета и противодействию их незаконной деятельности. Напрямую на раскрытие приватности выделено порядка 34 млн руб., косвенно – еще как минимум 35 млн руб.

Реклама

По вопросам размещения рекламы обращайтесь в отдел рекламы

Реклама наших партнеров

 

31 июля 2014

Миллионы пользователей Android в опасности из-за «суперуязвимости нового типа»

Специалисты по информационной безопасности из компании Bluebox Labs сообщили об обнаруженной ими в ОС Android уязвимости, которая позволяет злоумышленникам выдавать вредоносные приложения за ПО известных поставщиков. Google устранила эту ошибку в апреле. Но в зоне риска остаются миллионы пользователей, которые приобрели устройства, начиная с 2010 г.

О

бнаруженную «дыру» в западных изданиях назвали «суперуязвимостью нового типа». Уязвимость позволяет злоумышленникам получать доступ к функциям планшетов и смартфонов, а также хранящимся на них личным данным без ведома пользователя.

Хотя патч для устранения уязвимости был выпущен в апреле, устройства миллионов пользователей все еще подвергаются опасности. Дело в том, что устранение уязвимости относится только к последней версии Android, а версии с 2.1 (вышла в 2010 г.) до 4.3.1 так и остаются незащищенными.

Аналитики BlueBox дали этой уязвимости название Fake ID («поддельное удостоверение»), т.к. она дает возможность обмануть систему цифровых подписей (сертификатов) приложений, из-за чего вредоносное приложение может быть принято за приложение официального поставщика ПО, которому пользователь ранее разрешил доступ к системе.

Как объяснил в блоге компании Джефф Фористал (Jeff Forristal), технический директор Bluebox Labs, проблема заключается в самом методе проверки сертификатов. В качестве примера Фористал привел ситуацию, когда грабитель подходит к охране, предъявляя поддельный пропуск, а охрана, лишь взглянув на пропуск, пропускает его в здание, не сделав контрольный звонок в службу выдачи удостоверений.

«ОС Android не проверяет, действительно ли дочерняя цифровая подпись имеет отношение к родительской цифровой подписи, и безоговорочно доверяет данному утверждению. Можно сказать, что это фундаментальная проблема операционной системы», – комментирует Джефф Фористал.

К примеру, приложение объявляет ОС, что оно было разработано компанией Adobe Systems, приводит эксперт пример. Android не проверяет это утверждение и наделяет приложение привилегиями, которые доступны официальным приложениям от компании Adobe. В результате хакер может внедрить вредоносный код в систему, прикрываясь, к примеру, плагином Flash. Другой пример – в использовании сертификата приложения Google Wallet, которое имеет доступ к функции NFC.

Также злоумышленник может воспользоваться правами ПО 3LM, которое Sharp, Motorola, HTC и Sony, использовали для кастомизации графических оболочек на производимых устройствах. Получив привилегии 3LM, хакер может получить права на совершение любых действий, разрешенных 3LM, в т.ч. удаление и установку любых приложений.

Уязвимость такого рода обнаруживается в Android уже не в первый раз. В июле этого года специалисты той же компании, Bluebox, обнаружили в ОС Android баг, который позволяет хакеру модифицировать код установочного APK-файла, превращая любое подлинное приложение в троян. По сообщению экспертов, указанная ошибка присутствует на 900 млн устройств под управлением операционной системы, разработанной Google.

Читайте также:
В мобильных приложениях российских банков для iOS и Android найдены уязвимости
Похитители кодов: чем могут грозить электронные устройства
В 2013 г. компании потеряли 25 млрд долл. из-за хакеров и инсайдеров
Электронные замки в отелях взломать проще простого
Уязвимость в электронных замках привела к серии краж в отелях
Гослобби YotaPhone: чиновникам запретят пользоваться iPhone и другими смартфонами
Американский хакер придумал систему для угона чужих квадрокоптеров по радио

Источник: Bluebox.com

Комментарии

0 / 0
0 / 0

Прокомментировать







 
 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2016 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты