• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Chyba v Androidu umožňuje získat všechna práva bez Roota

Karel Michal
30. 7. 2014
| Zprávičky

V Androdu se nalézá poměrně fatální chyba, která umožňuje malware získat veškerá práva bez roota. Během úterý na chybu upozornila bezpečnostní společnost Bluebox Security, zranitelnost pojmenovala Fake ID.
Detailní informace bude společnost prezentovat na nadcházející bezpečnostní konferenci Black Hat.

Chyba spočívá v nedostatečném prověřování verifikace. V Androidu jsou jednotlivé aplikace podepisovány certifikátem, který identifikuje tvůrce, využívá se například na potvrzení autenticity u aktualizací. Android využívá PKI infrastrukturu, která identifikuje vše od toho, kde se certifikáty podpisují rodičovskými certifikáty s vytvořením řetězce až po důvěryhodné napevno zabudované kořenové certifikáty. Problém je ale v tom, že od verze Android 2.1 vůbec neprobíhá ověřování korektnosti takovýchto řetězců certifikátů, kterými je aplikace podepsaná.

Android aby si to zjednodušil, kontroluje pouze shodu jmen vydavatelů certifikátů a vůbec již neověřuje správnost kryptografických podpisů, které garantují bezpečnost řetězce.

To pochopitelně umožňuje podepsat aplikaci vlastním certifikátem a podvrhovat tímto způsobem ty důvěryhodné (resp. ty z důvěryhodných zdrojů jako je např. sám Google). Přímý dopad na bezpečnost je ten, že Android systémová oprávnění přiděluje právě na základě potvrzení identity vydavatele skrze jejich certifikáty. Nadstandardní systémová oprávnění mají v Androidu vedle některých aplikací od Google (Google Wallet) například programy Adobe. Pro zabezpečení správného fungování Flashe pro Android 4.3 může například Adobe vkládat tzv. webview plugin kód do dalších aplikací, což mimo jiné umožňuje získání přístupu k jejich uživatelským datům.

Chyba se nalézá ve verzích Androidu od 2.1 po 4.4., verze Android 4.4 KitKat ale mění způsob implementace webview pluginu, takže podvržení certifikátů Flashe již tak snadno zneužít nelze. Google chybu již opravil, různí výrobci ale aktualizují svůj firmware různě rychle, takže na řadě přístrojů může být ještě nějaký čas aktuální.

Rubriky: Operační systémySecurity

Související příspěvky

Ransomwarový útok stojí české oběti 8,25 milionu korun
Zprávičky

Policie odložila případ kyberútoku na Fakultní nemocnici Brno, pachatel neznámý

5. 7. 2022
Zprávičky

Čínský hacker tvrdí, že získal od policie údaje o miliardě čínských občanů

4. 7. 2022
Barracuda WAF-as-a-Service
Zprávičky

NÚKIB zveřejnil zprávu o stavu kybernetické bezpečnosti za rok 2021

1. 7. 2022
Zprávičky

Brněnský magistrát se stal terčem kyberútoku, chod ani údaje nejsou ohrožené

30. 6. 2022

Zprávičky

Nová strategie má pomoci EU přilákat 45 miliard eur do technologií

ČTK
6. 7. 2022

Evropská unie chystá novou strategii pro digitální inovace, jejímž cílem je zvýšit v Evropě

Jaké novinky přináší Arcserve UDP 8.1?

Europoslanci schválili regulaci velkých digitálních firem i obsahu na sítích

ČTK
5. 7. 2022

Evropský parlament dnes schválil dvojici klíčových digitálních norem, které mají mimo jiné lépe chránit

Ransomwarový útok stojí české oběti 8,25 milionu korun

Policie odložila případ kyberútoku na Fakultní nemocnici Brno, pachatel neznámý

ČTK
5. 7. 2022

Národní centrála proti organizovanému zločinu (NCOZ) odložila prověřování kybernetického útoku, který před dvěma lety

Čínský hacker tvrdí, že získal od policie údaje o miliardě čínských občanů

ČTK
4. 7. 2022

Čínský hacker na internetovém fóru sdělil, že získal od šanghajské policie osobní údaje miliardy

Kyndryl v Brně nabízí 200 volných míst v IT i pro absolventy

ČTK
4. 7. 2022

Brněnské technologické a inovační centrum Kyndryl, které se dříve nazývalo IBM Global Services Delivery

Evropská sdružení spotřebitelů si kvůli sběru osobních dat stěžuje na Google

ČTK
4. 7. 2022

Kvůli osobním údajům, které shromažďuje účet na prohlížeči Google, se desítka evropských organizací na

Herní studio Bohemia Interactive loni zvýšilo zisk na 616 milionů Kč

ČTK
3. 7. 2022

Největší české herní studio Bohemia Interactive loni zvýšilo zisk o 1,4 procenta na 616

Proč blockchain selhává

Bitcoin ve čtvrtletí klesl nejvíce od roku 2011, červnový pokles byl rekordní

ČTK
2. 7. 2022

Nejznámější kryptoměna bitcoin klesla ve druhém čtvrtletí o 58 procent, což je nejhorší čtvrtletní

Tiskové zprávy

Priority NÚKIB v rámci předsednictví ČR v Radě EU

Finále největší ICT soutěže od Huawei bylo oslavou mladých talentů

Loajální zaměstnanci SAP v České republice dostanou placené volno navíc

Nový partnerský program HPE Partner Ready Vantage umožní partnerům společnosti HPE další růst

Analýza: počet DDoS útoků na české firmy v květnu poklesl na předválečnou úroveň

Hewlett Packard Enterprise se nově zapojí do esport platformy

Zpráva dne

Doživotní licence na Windows 10 za € 11, Office za € 23, v červnu s námi ušetříte až 91 %!

Doživotní licence na Windows 10 za € 11, Office za € 23, v červnu s námi ušetříte až 91 %!

Redakce
1. 6. 2022

Supernabídka od Goodoffer24 pokračuje i v červnu! Nejzajímavější z nabídek je bezpochyby doživotní licence na...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Musk a Twitter, příběh robotických účtů

Pavel Houser
6. 6. 2022

Vztah mezi Elonem Muskem a Twitterem byl zásadní dávno před tím, než se Musk rozhodl firmu...

Slovník

Orbcomm

Administrator, Admin

4G

Nejpopulárnější články

Průzkum ohledně hybridní práce

Průzkum ohledně hybridní práce

Redakce
14. 6. 2022

SonicWall a Arcserve pro bezpečnost dat od partnerů distributora Entec

Jak jsme na tom s řízením kybernetické bezpečnosti

Richard Jan Voigts
27. 5. 2022

Téměř polovina finančních ředitelů považuje samoobslužná data a analytiku za hnací sílu produktivity zaměstnanců

Redakce
25. 5. 2022

Vědci přišli na levnou výrobu nejlepšího grafenu

Pavel Houser
3. 6. 2022

Ransomwarový útok stojí české oběti 8,25 milionu korun

Další vlna ransomwaru v roce 2022

Redakce
8. 6. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události byz Byznys Cloud Ekomerce Hardware inter Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Evropská vesmírná agentura dala zelenou přípravě českého vesmírného dalekohledu
  • Třikrát grafen: laserové ladění, twistony a syntéza z oxidu uhelnatého
  • České středověké meče pomáhají pochopit historii Evropy

RSS AbcLinuxu RSS

  • The Nettle Magic Project
  • Lennart Poettering skončil v Red Hatu
  • SpaceVim 2.0.0

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.