V 86% Android zariadení chyba umožňujúca kradnúť kľúče

Značky: bezpečnosťAndroid

DSL.sk, 30.6.2014

V mobilnom operačnom systéme Android všetkých verzií po 4.3 sa nachádza bezpečnostná chyba, zneužitím ktorej sa útočníci môžu dostať k autentifikačným kryptografickým kľúčom užívateľa a jeho aplikácií.

Upozornila na to spoločnosť IBM, ktorá chybu identifikovala.

Chyba typu pretečenia buffera na zásobníku sa nachádza v systémovej službe KeyStore, ktorá je určená pre bezpečné uchovávanie citlivých autentifikačných údajov užívateľa a jeho aplikácií. Aplikácie typicky uchovávajú v službe kľúče, ktoré umožňujú automatické prihlasovanie k účtom užívateľa potom ako sa užívateľ prvýkrát úspešne k danému účtu prihlásil.

Pre zneužitie chyby musí byť útočník schopný na zariadení spúšťať ním zvolený kód a musí sa tak naň dostať buď zneužitím inej chyby alebo napríklad dobrovoľným nainštalovaním podvrhnutej aplikácie užívateľom. Po úspešnom obídení ochrán DEP a ASLR môže útočník potenciálne spustiť v rámci procesu služby ním zvolený kód a získať prístup k heslu, PIN-u alebo odomykaciemu vzoru, ktorým má užívateľ zamknutú obrazovku a ktorým je úložisko citlivých dát zašifrované, a následne ku kľúčom uloženým v tomto úložisku.

V moderných zariadeniach je často prítomný hardvérový čip uchovávajúci kľúče, z ktorého nie je možné kľúče získať. Prístup k nemu je ale chránený cez KeyStore a útočník získa prístup k použitiu týchto kľúčov, napríklad na podpis alebo dešifrovanie dát.

Chyba bola objavená už v septembri 2013, Google ju opravil vo verzii 4.4 KitKat. Podľa IBM sa chyba nachádza vo všetkých nižších verziách, ktoré sú podľa štatistík Google ešte inštalované na 84.4% všetkých Android zariadení. Vzhľadom na to, že KeyStore je systémovou službou, pre užívateľov nie je k dispozícii návod ako sa chrániť a chybu môžu opraviť len výrobcovia vydaním aktualizovaného firmvéru.


Najnovšie články:



Diskusia:

kluce Od: martincc | Pridané: 30.6.2014 9:04 Raz mi ukradli kluce a museli sme menit zamky :-( Odpovedať Známka: 8.6 Hodnotiť:

Re: kluce Od: si_dilino | Pridané: 30.6.2014 9:20 ti ukradli z vrecka ? nepoznam nikoho komu by kradli kluce Odpovedať Známka: -6.4 Hodnotiť:

Re: kluce Od reg.: raketa | Pridané: 30.6.2014 14:47 niekto ti desifroval karabinku? jaaaj, ty si ju ani nemal... Odpovedať Známka: 7.8 Hodnotiť:

Re: kluce Od: ja. | Pridané: 1.7.2014 13:35 Možno ju mal, ale ukradli mu ich aj s nohavicami. Odpovedať Známka: 10.0 Hodnotiť:

Re: kluce Od: joskooooooo | Pridané: 30.6.2014 9:40 este se mne sa to pri aplle nemose stat aplle vichrava v pespecnosti na celej ciare coje asi najtolesitejsie Odpovedať Známka: -4.0 Hodnotiť:

Re: kluce Od: leader80 | Pridané: 30.6.2014 9:49 https://www.google.sk/?q=ftefan#q=ftefan Odpovedať Známka: -10.0 Hodnotiť:

Re: kluce Od: jjjjjjjjjj | Pridané: 30.6.2014 10:54 jj, to jsi hloupí lidé stále myslí "iPhone is most vulnerable, least secure smartphone in the market, security firm finds" "40% of iOS popular apps invade your privacy without any permission" "Apple iOS Apps Leak More Personal Info Than Android" "Remotely Assembled Malware Blows Past Apple’s Screening Process" Huffington Post: "iPhones, iPads Hacked And Held For Ransom" "iOS 7 Security Flaw Leaves Stored Email Attachments Unencrypted" Odpovedať Známka: -0.8 Hodnotiť:

Re: kluce Od: Philll | Pridané: 30.6.2014 12:50 iOS nie je dokonaly, ale na druhu stranu opravu systemovej chyby v iOS dostanu vsetci s podporovanym OS, chybu v Androide sice Google zaplata, ale opravu uvidi iba minimum ludi, kedze vyrobca HW radsej vyda novy model ako novy fw, najma ak ho Google nijako netlaci. A teraz babo rad, ktory system je na tom, z pohladu bezpecnosti pre zakaznika, lepsie Odpovedať Známka: 3.3 Hodnotiť:

Re: kluce Od: jjjjjjjjjj | Pridané: 30.6.2014 13:35 iOS diktatura = svět bez zločinů, zdravý rozum netřeba = je třeba se bát diktatury Android demokracie = zodpovědnost, otevřenost, zdravý rozum = není se čeho bát akorát v praxi je iOS i přes diktaturu děravý jak cedník = asi nejhorší rozšířený OS na světě Odpovedať Známka: 0.7 Hodnotiť:

Re: kluce Od: jasomto. | Pridané: 30.6.2014 15:49 ty si si asi pomýlil diskusiu... toto nie je článok o apple, toto je článok o tom ako ti môže hocijaká aplikácia ukradnúť na Androide kľúče. takú dieru nemá(l) ani Apple, ani winphone, ani blackberry. A nezmeníš to ani keď tu budeš citovať bludy z Huffington Post... ale aspoň si nás rozosmial, čítaj to ďalej, budeš najlepsi :)))))) Odpovedať Známka: 1.1 Hodnotiť:

Re: kluce Od: jjjjjjjjjj | Pridané: 1.7.2014 6:45 reagoval jsem na směšný nesmysl, že Apple je bezpečný nemůžu reagovat? ;) máš nějaká fakta proti tomu, že iOS je nehorší systém všech dob, co se týče bezpečnosti? já ti podal spoustu článku, kde OS srovnávají, ty jen lžeš a podkopáváš jakýkoliv důkaz "citovať bludy z Huffington Post" ;) Odpovedať Známka: 0.0 Hodnotiť:

Re: kluce Od: reg.: x x l l | Pridané: 30.6.2014 21:45 Az na to, ze drviva vacsina populacie nema zdravy rozum a statisticky velmi vyznamna cast z nich pouziva android :D Odpovedať Známka: 3.3 Hodnotiť:

Re: kluce Od: jjjjjjjjjj | Pridané: 1.7.2014 10:34 no vidíš, u iOS jsou to všichni :) Odpovedať Hodnotiť:

Re: kluce Od: reg.: x x l l | Pridané: 30.6.2014 21:53 Jasne ze iOS. Ked mal iOS generalny pruser s "goto fail", tak sa to prevalilo az po publikovani opravy (Ale obecne, Apple ked je velky pruser, kona pomerne rychlo). No a na druhej strane je takmer uplne ekvivalentny modelovy pripad s Heartbleed chybou, na ktoru sa z vesela utoci. Osobne si myslim, ze Google bude musiet tuto - mam v prdeli - politiku casom uplne zrevidovat. Nie je mozne, aby vyrobca mal na salame podporu prakticky po par mesiacoch po vydani telefonu. Google tym bude cim dalej, tym viac trpiet... Spolu s uzivatelmi samozrejme. Odpovedať Známka: 3.3 Hodnotiť:

Re: kluce Od: jjjjjjjjjj | Pridané: 1.7.2014 13:02 Apple iOS má 10x více bezpečnostních chyb než Android dle statistiky, takže asi tak to radši svobodu, než Hitlerovský diktát od Applu = za Hitlera taky bylo minimum zločinů přesto je iOS 10x nebezpečnější, takže Apple pomůže už jen vyházet celé IT oddělení ;) Odpovedať Známka: -3.3 Hodnotiť:

Re: kluce Od: jjjjjjjjjj | Pridané: 1.7.2014 13:03 "IOS 335 vulnerabilities Andorid 36 IOS is 9x-10x less secure than Android." Odpovedať Hodnotiť:

Re: kluce Od: toto nie je meno | Pridané: 1.7.2014 21:16 Na iOS utoci len cca 1% bordelu, na Android cca 80% /podakuj tomu, ze je viac rozsireny, otvoreny a obsahuje zavaznejsie chyby/. Takze, aj napriek tomu, ze ma jabcko 10x viac chyb, vdaka agresivne kontrole aplikacii Ti v konecnom dosledku hrozi mensie riziko ako napr. v Androide. Odpovedať Hodnotiť:

Re: kluce Od: jjjjjjjjjj | Pridané: 2.7.2014 7:06 na iOS se útočit nemusí, tam jsou vrata dokořán :) navíc nákaza Androidu je přibližně 0,00001 % dle statistik úžasná bezpečnost, že? ;) Odpovedať Hodnotiť:

Re: kluce Od: chuj | Pridané: 30.6.2014 12:20 menej chlastat, potom ti nikto kluce kradnut nebude. teda ich nestratis ... Odpovedať Známka: 2.0 Hodnotiť:

Haiku Od: afafadf | Pridané: 30.6.2014 9:08 Android Is there no security ? Not if you ask me. Odpovedať Známka: -5.6 Hodnotiť:

Re: Haiku Od: jjjjjjjjjj | Pridané: 30.6.2014 13:37 Haiku, is there a brain? no Odpovedať Hodnotiť:

nie je dna Od: luke peterson | Pridané: 30.6.2014 9:57 co by som neprecital nieco negativne na android.... Odpovedať Známka: -5.0 Hodnotiť:

Re: nie je dna Od: ORFLZ | Pridané: 30.6.2014 10:03 sorry, ale takto strasne prazdny, bezucelny a bezpredmetny diskusny prispevok som uz dlho nezazil Odpovedať Známka: 1.7 Hodnotiť:

Re: nie je dna Od: ZLodej | Pridané: 30.6.2014 10:36 Možno je prázdny, bezúčelný, alebo bezpredmetný, ale je pravdivý... Odpovedať Známka: -4.0 Hodnotiť:

to su veci Od: eghdfhgds | Pridané: 30.6.2014 10:44 takze nenechavajte kluce v kvetinaci, pod rohozkou a ani v telefone s androidom. ;-) Odpovedať Známka: 10.0 Hodnotiť:

Ach ten slavny Android Od: Sloniiik | Pridané: 30.6.2014 11:45 Tych chyb v Androide je nejako vela. Takze z toho vyplyva, ze je to mrtva platforma. Len aka je jej nahrada? iOS ani WP nie su na tom lepsie - kazda ma svoje nevyhody. Ubuntu sa velmi neuchytilo, takze co? Inak v nadpise je 86% a v clanku 84,4%. Neviem aku zaokruhlovaciu metodu ste pouzili, ale podla mna je v jednom z cisiel chyba... Odpovedať Známka: 1.2 Hodnotiť:

Re: Ach ten slavny Android Od: tamtung | Pridané: 30.6.2014 14:15 1.6% zloedjov chytili Odpovedať Hodnotiť:

Re: Ach ten slavny Android Od: duff | Pridané: 30.6.2014 23:43 prejsť na normalne mobily bez OS a bude pokoj aj bateria vydrží nejaký ten deň a celý android by sa mal zakázať Odpovedať Hodnotiť:

looking from job Od: RIKK | Pridané: 30.6.2014 12:41 Maybe you looking from job too. Odpovedať Hodnotiť:

Iba 4.3 Od: reg.: x x l l | Pridané: 30.6.2014 21:42 UPDATE (Jun. 30, 2014): The vulnerability affects Android 4.3 only. Thanks for the Android Security Team for correcting our advisory. Odpovedať Známka: 10.0 Hodnotiť:

Re: Iba 4.3 Od: abs | Pridané: 2.7.2014 12:14 tak tak. cakal by som od DSL redakcie ze to zaktualizuju, aj ked je to uz starsia sprava. Odpovedať Hodnotiť:

Internety Od: Niktosh | Pridané: 1.7.2014 12:00 Treba zrušiť internety a vrátiť sa k disketam :-/ Už dlhšie rozmýšľam, či mi ten FB a maily stoja za to byť furt "on-line" A iBanking ani nepouzivam radšej... Odpovedať Známka: -3.3 Hodnotiť:

Pridať komentár