Chyba v Androidu umožňuje získat všechna práva bez Roota

Karel Michal , 30. červenec 2014 11:23 4 komentářů

V Androdu se nalézá poměrně fatální chyba, která umožňuje malware získat veškerá práva bez roota. Během úterý na chybu upozornila bezpečnostní společnost Bluebox Security, zranitelnost pojmenovala Fake ID.

Detailní informace bude společnost prezentovat na nadcházející bezpečnostní konferenci Black Hat.

Chyba spočívá v nedostatečném prověřování verifikace. V Androidu jsou jednotlivé aplikace podepisovány certifikátem, který identifikuje tvůrce, využívá se například na potvrzení autenticity u aktualizací. Android využívá PKI infrastrukturu, která identifikuje vše od toho, kde se certifikáty podpisují rodičovskými certifikáty s vytvořením řetězce až po důvěryhodné napevno zabudované kořenové certifikáty. Problém je ale v tom, že od verze Android 2.1 vůbec neprobíhá ověřování korektnosti takovýchto řetězců certifikátů, kterými je aplikace podepsaná.

Android aby si to zjednodušil, kontroluje pouze shodu jmen vydavatelů certifikátů a vůbec již neověřuje správnost kryptografických podpisů, které garantují bezpečnost řetězce.

To pochopitelně umožňuje podepsat aplikaci vlastním certifikátem a podvrhovat tímto způsobem ty důvěryhodné (resp. ty z důvěryhodných zdrojů jako je např. sám Google). Přímý dopad na bezpečnost je ten, že Android systémová oprávnění přiděluje právě na základě potvrzení identity vydavatele skrze jejich certifikáty. Nadstandardní systémová oprávnění mají v Androidu vedle některých aplikací od Google (Google Wallet) například programy Adobe. Pro zabezpečení správného fungování Flashe pro Android 4.3 může například Adobe vkládat tzv. webview plugin kód do dalších aplikací, což mimo jiné umožňuje získání přístupu k jejich uživatelským datům.

Chyba se nalézá ve verzích Androidu od 2.1 po 4.4., verze Android 4.4 KitKat ale mění způsob implementace webview pluginu, takže podvržení certifikátů Flashe již tak snadno zneužít nelze. Google chybu již opravil, různí výrobci ale aktualizují svůj firmware různě rychle, takže na řadě přístrojů může být ještě nějaký čas aktuální.


Komentáře

SpookY #1
SpookY 30. červenec 2014 13:15

Jak donutit výrobce starších zařízení, aby provedli aktualizaci či opravili chybu?

the.max 30. červenec 2014 16:43

Nijak, ale možná pomůže modlitba :-D

g #3
g 30. červenec 2014 17:14

Bezpecnostni oprava mozna uz byla zahrnuta v ramci Z-kove aktualizace X.Y.Z. Google poskytl vyrobcum patch jiz v Dubnu.

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Čtvrtletní zisk a tržby majitele Googlu výrazně vzrostly

ČTK , 28. duben 2017 15:00

Čistý zisk americké společnosti Alphabet, která je majitelem internetového gigantu Google, v prvním ...

Více 0 komentářů

Bývalí manažeři Olympusu mají zaplatit miliardy za účetní podvod

ČTK , 28. duben 2017 14:00

Skupina bývalých vedoucích pracovníků japonské společnosti Olympus musí firmě zaplatit odškodné 58,8...

Více 0 komentářů

Soud v Ostravě poslal počítačového hackera na 6,5 roku do vězení

ČTK , 28. duben 2017 10:30

Na 6,5 let poslal dnes Krajský soud v Ostravě do vězení počítačového hackera Lumíra Heriče. Podle ro...

Více 0 komentářů

Starší zprávičky

Digitální transformace a IoT mění české výrobní společnosti

Pavel Houser , 28. duben 2017 09:00

Často více než 10 let staré ERP systémy nebývají s novými technologiemi kompatibilní....

Více 0 komentářů

Jihokorejští výrobci elektroniky Samsung a LG prudce zvýšili zisk

ČTK , 28. duben 2017 07:00

Jihokorejští výrobci elektroniky Samsung Electronics a LG Electronics v letošním prvním čtvrtletí vý...

Více 0 komentářů

O digitální transformaci usiluje více než polovina českých podniků

Pavel Houser , 27. duben 2017 18:39

Spojení IoT a AI: Zařízení internetu věcí generují velké objemy dat, které mají bez rychlého zpracov...

Více 0 komentářů

Twitter snížil čtvrtletní ztrátu na 61,6 milionu dolarů

ČTK , 27. duben 2017 15:30

Čtvrtletní ztráta americké internetové společnosti Twitter se meziročně snížila na 61,6 milionu dola...

Více 0 komentářů