Kritická chyba v Androidu obchází kryptografický podpis

ITbiz.cz, 04. červenec 2013 11:37 4 komentářů

Mobilní operační systém Android má nový problém, již čtyři roky se v něm nachází bezpečnostní chyba, která umožňuje infikovat aplikace a nemění při tom kryptografický podpis.

Chyba byla objevena pracovníky bezpečnostní společnosti Bluebox Security, přítomna je v systémech od verze 1.6 do současnosti. Exploit umožňuje upravit instalační APK balík legitimních aplikací bez toho, že by došlo ke změnám na úrovni kryptografického podpisu, ten je následně i po změně ověřován jako platný.

Díky této díře je možné bez problémů do instalačních balíků dostat například trojské koně, nebo jiný škodlivý kód.

Jedná se o relativně přelomovou záležitost, chyba totiž otevírá zcela nové možnosti jak vést proti Androidu útoky. Stačí například podvrhnout uživatelům ruční aktualizaci aplikace, která je v systému již přítomna, modifikovaná verze bude totiž podepsána stejným certifikátem a klíčem, takže systém ani uživatel nic nepozná.


Komentáře

the.max 04. červenec 2013 19:20

jsem zvedavy, jak se google a hlavne vyrobci zarizeni, postavi k zaplate.

scarabeus #2
scarabeus 04. červenec 2013 19:49

Google normalne a vyda opravu, vyrobci se na to vykaslou.
Jako kaslali na vetsinu predchozich der (vetsina ovsem nebyla takto kriticka).

2013 #3
2013 04. červenec 2013 19:51

Nijak, zamete to pod kobereček. Tytam jsou ty časy "Když ptáčka lapají, pěkně mu ..... Nyní má většinu a BFU se to ani nedozví. Ruku na srdce, Android je sám spyware.

MTR #4
MTR 04. červenec 2013 20:52

To je zase nejaky opraseny zvyk busit do Android? Systemove bugy existuji od sameho pocatku a nebojim se toho, ze o ne bude nouze i v budoucnu. FYI: v kapse mam BlackBerry, nikoliv Android. Android je obrazem uzivatele, od stabilniho, svizneho az po agonii balastu, ktery z nej dokaze udelat uzivatel. Proste se nasla dalsi chyba a nebude jiste posledni. Jestli je Apple lepsi? Neni, protoze tech chyb ma pozehnane a s bezpecnosti na tom neni dvakrat nejlepe, ale ma provazany ekosystem, ktery logicky Android mit nikdy nebude. Muzete si sam fixnout nebou upravit funkce. S iOS, nemuzete nic, protoze byste porusil smlouvu s dablem - to skvele pocteni od Apple. Nebojim se toho, ze takovato chyba ve zrustajici oblibe korporatni sfery zustane neopravena, nebo ze vysumi. Fixne se to a bude se hledat dalsi.

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 1 komentářů

Bosch a IBM začaly spolupracovat na IoT pro průmysl

Pavel Houser , 24. březen 2017 13:08

Výrobci aut mohou nyní plánovat a organizovat aktualizaci softwaru u milionů vozů....

Více 0 komentářů

Apple čeká na Novém Zélandu vyšetřování kvůli daním

ČTK , 24. březen 2017 13:00

Americkou společnost Apple čeká na Novém Zélandu vyšetřování, navzdory miliardovému obratu tam totiž...

Více 0 komentářů

Starší zprávičky

Huawei a SUSE spolupracují na platformě pro kritické úlohy

Pavel Houser , 24. březen 2017 11:42

SUSE Linux Enterprise Server jako preferovaný standardní OS pro KunLu umožňuje výměnu procesorů a pa...

Více 0 komentářů

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů

Jen necelá polovina firem pravidelně zkoumá data o zákaznících

ITBiz.cz , 23. březen 2017 14:30

Podle studie společnosti Oracle pouze 44 % firem pravidelně zkoumá data o svých zákaznících s cílem ...

Více 0 komentářů