Chyba v Androidu umožňuje získat všechna práva bez Roota

Karel Michal , 30. červenec 2014 11:23 4 komentářů

V Androdu se nalézá poměrně fatální chyba, která umožňuje malware získat veškerá práva bez roota. Během úterý na chybu upozornila bezpečnostní společnost Bluebox Security, zranitelnost pojmenovala Fake ID.

Detailní informace bude společnost prezentovat na nadcházející bezpečnostní konferenci Black Hat.

Chyba spočívá v nedostatečném prověřování verifikace. V Androidu jsou jednotlivé aplikace podepisovány certifikátem, který identifikuje tvůrce, využívá se například na potvrzení autenticity u aktualizací. Android využívá PKI infrastrukturu, která identifikuje vše od toho, kde se certifikáty podpisují rodičovskými certifikáty s vytvořením řetězce až po důvěryhodné napevno zabudované kořenové certifikáty. Problém je ale v tom, že od verze Android 2.1 vůbec neprobíhá ověřování korektnosti takovýchto řetězců certifikátů, kterými je aplikace podepsaná.

Android aby si to zjednodušil, kontroluje pouze shodu jmen vydavatelů certifikátů a vůbec již neověřuje správnost kryptografických podpisů, které garantují bezpečnost řetězce.

To pochopitelně umožňuje podepsat aplikaci vlastním certifikátem a podvrhovat tímto způsobem ty důvěryhodné (resp. ty z důvěryhodných zdrojů jako je např. sám Google). Přímý dopad na bezpečnost je ten, že Android systémová oprávnění přiděluje právě na základě potvrzení identity vydavatele skrze jejich certifikáty. Nadstandardní systémová oprávnění mají v Androidu vedle některých aplikací od Google (Google Wallet) například programy Adobe. Pro zabezpečení správného fungování Flashe pro Android 4.3 může například Adobe vkládat tzv. webview plugin kód do dalších aplikací, což mimo jiné umožňuje získání přístupu k jejich uživatelským datům.

Chyba se nalézá ve verzích Androidu od 2.1 po 4.4., verze Android 4.4 KitKat ale mění způsob implementace webview pluginu, takže podvržení certifikátů Flashe již tak snadno zneužít nelze. Google chybu již opravil, různí výrobci ale aktualizují svůj firmware různě rychle, takže na řadě přístrojů může být ještě nějaký čas aktuální.


Komentáře

SpookY #1
SpookY 30. červenec 2014 13:15

Jak donutit výrobce starších zařízení, aby provedli aktualizaci či opravili chybu?

the.max 30. červenec 2014 16:43

Nijak, ale možná pomůže modlitba :-D

g #3
g 30. červenec 2014 17:14

Bezpecnostni oprava mozna uz byla zahrnuta v ramci Z-kove aktualizace X.Y.Z. Google poskytl vyrobcum patch jiz v Dubnu.


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů

Starší zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 2 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů