Chyba v Androidu umožňuje získat všechna práva bez Roota

Karel Michal , 30. červenec 2014 11:23 4 komentářů

V Androdu se nalézá poměrně fatální chyba, která umožňuje malware získat veškerá práva bez roota. Během úterý na chybu upozornila bezpečnostní společnost Bluebox Security, zranitelnost pojmenovala Fake ID.

Detailní informace bude společnost prezentovat na nadcházející bezpečnostní konferenci Black Hat.

Chyba spočívá v nedostatečném prověřování verifikace. V Androidu jsou jednotlivé aplikace podepisovány certifikátem, který identifikuje tvůrce, využívá se například na potvrzení autenticity u aktualizací. Android využívá PKI infrastrukturu, která identifikuje vše od toho, kde se certifikáty podpisují rodičovskými certifikáty s vytvořením řetězce až po důvěryhodné napevno zabudované kořenové certifikáty. Problém je ale v tom, že od verze Android 2.1 vůbec neprobíhá ověřování korektnosti takovýchto řetězců certifikátů, kterými je aplikace podepsaná.

Android aby si to zjednodušil, kontroluje pouze shodu jmen vydavatelů certifikátů a vůbec již neověřuje správnost kryptografických podpisů, které garantují bezpečnost řetězce.

To pochopitelně umožňuje podepsat aplikaci vlastním certifikátem a podvrhovat tímto způsobem ty důvěryhodné (resp. ty z důvěryhodných zdrojů jako je např. sám Google). Přímý dopad na bezpečnost je ten, že Android systémová oprávnění přiděluje právě na základě potvrzení identity vydavatele skrze jejich certifikáty. Nadstandardní systémová oprávnění mají v Androidu vedle některých aplikací od Google (Google Wallet) například programy Adobe. Pro zabezpečení správného fungování Flashe pro Android 4.3 může například Adobe vkládat tzv. webview plugin kód do dalších aplikací, což mimo jiné umožňuje získání přístupu k jejich uživatelským datům.

Chyba se nalézá ve verzích Androidu od 2.1 po 4.4., verze Android 4.4 KitKat ale mění způsob implementace webview pluginu, takže podvržení certifikátů Flashe již tak snadno zneužít nelze. Google chybu již opravil, různí výrobci ale aktualizují svůj firmware různě rychle, takže na řadě přístrojů může být ještě nějaký čas aktuální.


Komentáře

SpookY #1
SpookY 30. červenec 2014 13:15

Jak donutit výrobce starších zařízení, aby provedli aktualizaci či opravili chybu?

the.max 30. červenec 2014 16:43

Nijak, ale možná pomůže modlitba :-D

g #3
g 30. červenec 2014 17:14

Bezpecnostni oprava mozna uz byla zahrnuta v ramci Z-kove aktualizace X.Y.Z. Google poskytl vyrobcum patch jiz v Dubnu.

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

19. 10.

22. 10.
For Games 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Starší zprávičky

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů