neprihlásený Utorok, 23. januára 2018, dnes má meniny Miloš   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Pozor, chyba v Androide umožňuje falšovať aplikácie

Značky: Androidbezpečnosť

DSL.sk, 10.12.2017


V mobilnom operačnom systéme Android sa nachádza bezpečnostná chyba, ktorá umožňuje útočníkom vydávať falošné aplikácie s nimi podvrhnutým ľubovoľným kódom za aktualizácie existujúcich aplikácií.

Chybu identifikovala spoločnosť Guard Square.

Bezpečnosť inštalačných súborov aplikácií v Androide sa spolieha na kryptografické podpisy inštalačných balíčkov pomocou zahrnutého certifikátu vývojára. U podpisov sa nevyžaduje aby bol certifikát podpísaný certifikačnou autoritou, certifikáty ale slúžia na autentifikovania aktualizácií aplikácií. Aby bola nová verzia aplikácie považovaná a akceptovaná za aktualizáciu, musí byť podpísaná rovnakým certifikátom ako pôvodná verzia a podpis tak môže vytvoriť len autor pôvodnej verzie.

Kvôli nájdenej chybe CVE-2017-13156 označenej autormi Janus to v skutočnosti ale neplatí.

U donedávna jedinej používanej verzie podpisov, tzv. v1, je totiž možné zobrať legitímny inštalačný APK súbor a vložiť doňho škodlivý kód, ktorý sa pri spustení aplikácie spustí namiesto kódu v APK.

APK súbor je ZIP respektíve JAR archívom, jeho podpis overuje len jednotlivé súbory v tomto pôvodnom archíve a do súboru je možné vložiť iné dáta a súbor stále zostane ZIP súborom akceptovaným Androidom. Takto je doňho možné vložiť dáta v podobe podvrhnutého Android kódu, aby bol súbor zároveň akceptovaným súborom formátu DEX, Dalvik EXecutable. Tento formát používa Android na samotný kód aplikácií.


Útok na Janus zneužíva, že jeden súbor môže pre Android vyzerať zároveň ako APK / ZIP a DEX, kliknite pre zväčšenie (obrázok: Guard Square)



Pri inštalácii Android vzniknutý súbor overuje ako APK súbor a keďže jeho pôvodný obsah je zachovaný, overí ho rovnako ako overuje pôvodný originálny APK a napríklad ho akceptuje za aktualizáciu inštalovanej aplikácie ak bol akceptovaný pôvodný APK súbor. Pri spustení ale virtuálny stroj v Androide považuje súbor za DEX súbor a spustí v skutočnosti kód pridaný útočníkom. Ten sa potenciálne samozrejme môže tváriť ako originálna aplikácia, ale uskutočňovať aj škodlivú činnosť a samozrejme s prístupom k dátam, ku ktorým má prístup táto aplikácia.

Chyba a útok má niekoľko obmedzení. Zraniteľnosť je prítomná od verzie Android 5.0. Zároveň od Androidu 7.0 vydaného v auguste 2016 je v Androide k dispozícii aj nový spôsob podpisovania APK v2, ktorý na túto zraniteľnosť netrpí. Aplikácie, ktoré sú podpísané aj takýmto spôsobom a bežia na Androide 7.0 a novšom, nie sú zraniteľné, keď tu zrejme aktualizácia musí mať aj podpis v2.

Podvrhnutá aplikácia sa nedá podľa objaviteľov šíriť cez Google Play, či tomu tak bolo vždy alebo ochrana bola pridaná po objavení zraniteľnosti nie je jasné.

Podvrhnuté aktualizácie sa dajú ale šíriť inštalovaním z iných zdrojov, čo môžu byť prípadne aj iné obchody s aplikáciami alebo z webu. Jedným zo základných pravidiel bezpečnosti je neinštalovať respektíve nespúšťať kód z nedôveryhodného zdroja. U aplikácií nenachádzajúcich sa v Google Play, ktoré užívateľ aj tak pôvodne inštaloval z iného zdroja, samozrejme aj aktualizácie hľadá z iného zdroja.

Bez existencie chyby Janus by mal užívateľ istotu, že aktualizácia prichádza od rovnakých autorov ako pôvodná verzia respektíve presnejšie od niekoho s prístupom k privátnemu kľúču autorov. To pre chybu Janus neplatí a aj pri sťahovaní aktualizácie je potrebné overovať dôveryhodnosť zdroja rovnako dôsledne ako pri prvej inštalácii danej aplikácie.

Nie je jasné či je číslo verzie aplikácie v podpísaných dátach v APK a či pre vytvorenie falošného inštalačného súboru potrebuje útočník APK novšej verzie ako má inštalované užívateľ. Aktualizáciu totiž Android akceptuje len ak má číslo verzie vyššie ako inštalovaná verzia.

V každom prípade Guard Square chybu nahlásila spoločnosti Google 31. júla, opravená bola v tohtomesačných bezpečnostných aktualizáciách Androidu a ostatní výrobcovia smartfónov dostali aktualizáciu minulý mesiac. Ako Google problém vyriešil oznámenie neinformuje.


      Zdieľaj na Twitteri



Najnovšie články:

Dotcom zažaloval Nový Zéland a USA o 6.8 miliárd dolárov
Supervýkonný superpočítač si zaobstarala už aj súkromná firma
Intel chystá osem lacnejších Coffee Lake CPU, prídu lacnejšie dosky
Vedci vlečným lúčom udržali 1.6-cm objekt, zvukovým
Google si natiahne úplne vlastný podmorský kábel a pridá dátové centrá, aj v Európe


inzercia



Diskusia:
                               
 

Keď vidím ako sa aktualizujú (hlavne staršie a lacnejšie smartphony/tablety) Android zariadenia, dočkám sa updatu? Kedy?
Odpovedať Známka: 4.1 Hodnotiť:
 

Nedočkáš.
Odpovedať Známka: 9.0 Hodnotiť:
 

Ale môže si kúpiť nový.
Odpovedať Známka: 8.0 Hodnotiť:
 

Nechcel som mu to predhodit takto narovinu.
Odpovedať Známka: 8.9 Hodnotiť:
 

Zaujimanie optimistickeho postoja s pozitivnym videnim buducnosti ale dovoluje uprimu a priamu odpoved, ze cakanie urcite skonci.
Odpovedať Známka: -5.2 Hodnotiť:
 

Evolúcia nectí tradíciu.
Evolúcia stojí na hromade kostí z neúspešných mŕtvol.
Odpovedať Známka: 8.5 Hodnotiť:
 

Takže nebyť tých takzvaných "neúspešných" mŕtvol, nebola by evolúcia.
Odpovedať Známka: 10.0 Hodnotiť:
 

Nie. Len by stála inde. Alebo nestála.
Odpovedať Známka: -2.0 Hodnotiť:
 

Jop, čakám zbytočne

Mám Huawei MediaPad M2, LTE verziu, a ten je zaseknutý na Androide 5 (verzia bez LTE modulu dostala aspon šestku)
Odpovedať Známka: -5.0 Hodnotiť:
 

update pri androide je zacvakanie vela prachov
pri kazdom priekaznom neupdatovani android zamerne zariadania
od priekazneho vyrobcu , cim nieSte donuteny kupit si vzdy
nove a nove zariadenie , posielam kvety kazdemu android mobilu co sa neda po 2 rokoch uz updatovat a urcite by som si taku znacku uz nekupil , a tak isto neskore updatey ak su na nejaku chybu ... niesu vcas vydane
Odpovedať Známka: -2.3 Hodnotiť:
 

kokotkom z panelakov nevysvetlis aby neupdatovali oni updatnu a to spomali az na vyjebanie do kosa tak spomali.

mi tu vyskakuje update uz rok jebem nanho mam naistalovane co potrebujem tak nesom nuteni pouzit store keri sa neda pouzit bez updatu ze a nidi neupdatnem aj o 5 rokov mi bude mobil plynuje fungovat lebo neupdatnem nidi!!!!!!!!!!!!!!!!!1





Odpovedať Známka: -6.2 Hodnotiť:
 

Ani Apple zariadenia sa nedajú dlhodobo apdejtovať. Nehovoriac o tom ako iOs 11 odpálil niektoré staršie zariadenia. Pri Androide je výhodou aspoň to, že za 250 E si človek môže kúpiť kvalitný funkčný nesekajúci nový mobil s novým OS. Výhodou je aj trend prechádzania na čistý Android.
Odpovedať Hodnotiť:
 

ak mas "trashove" znacky tak nikdy, ak mas drahsie telefony znackovych vyrobcov tak mozno o par tyzdnov
Odpovedať Známka: 0.0 Hodnotiť:
 

install LineageOS
Odpovedať Známka: 10.0 Hodnotiť:
 

Necakaj na darovamne UPDATE a ries to ako profik. PREINSTALUJ spravny OS ziskas vyssiu verziu Androidu bez prebytocnych aplikacii a na ten ti budu chodit tsale aktualizacie. S4 Android 4.4 je max. a aktualizacie uz nebudu. Teraz mam CyanogenMOD, Lineage 14 Android 7.1 a stale vychadza UPDATE a nove OS.
Odpovedať Hodnotiť:
 

Vzdy ma potom fascinuje ked ludia okolo mna hovoria o roznych velkych korporaciach a ich produktoch ze to urcite musia mat premyslene a ze sak na tom pracuje kvantum ludi tak predsa ich produkt musi byt tip top. Ani stipka podozrenia alebo aspon jemneho overenia ci su veci naozaj tak ako vyrobca tvrdi. Samozrejme clovek nemoze vsetko overovat ale ludia su tak dovercivy aj v kritickych veciach ze nechapem. Ako mohla prejist takato blbost to nepochopim.Toto nieje ani nejake sofistikovane injektovanie kodu, proste do zipu pribalim trochu bordelu...
Odpovedať Známka: 5.2 Hodnotiť:
 

Keď Indický programátor ťahá nonstop 16-ky sa nečuduj že sem tam spraví takúto chybu.
Odpovedať Známka: 5.4 Hodnotiť:
 

ked vsetci slovenski pracuju na eurotuneloch a tamtung ich nechce ani tak z polovice zaplatit, tak neostava nic len indian
Odpovedať Známka: 2.7 Hodnotiť:
 

> ludia okolo mna hovoria o roznych velkych korporaciach
> a ich produktoch ze to urcite musia mat premyslene a
> ze sak na tom pracuje kvantum ludi tak predsa ich
> produkt musi byt tip top …

… ale my, čo to píšeme, vieme aké sú to s*ačky.
Odpovedať Známka: 4.4 Hodnotiť:
 

Presne od toho je timlid, aby kazdeho, kto podava 100% vykon vyrazil kamsi do menezmentu, kde to nevadi.
Odpovedať Známka: 7.1 Hodnotiť:
 

Korporacie chyby nerobia? Tak isto ako u ludi si horsie a lepsie produkty a ziadny nebude 100%tny.
Odpovedať Známka: 10.0 Hodnotiť:
 

Nepoužíva android už dlhšie ART namiesto Dalvik?
Odpovedať Známka: 3.3 Hodnotiť:
 

Iba tipujem ale asi až od verzie 7.0
Odpovedať Známka: -2.0 Hodnotiť:
 

ART je od 5.0
Odpovedať Známka: 3.3 Hodnotiť:
 

Je od 5, ale default je Dalvik. Pri 6 stale bežala rezerva na pozadí Dalvik, keby ART padol, čo sa stávalo na 6 dosť často.
Odpovedať Hodnotiť:
 

Chyba v mojom mozgu si umoznuje dat sedemnaste bongo
Odpovedať Známka: 7.6 Hodnotiť:
 

Mama was queen of the mambo 
Papa was king of the Congo
Odpovedať Známka: 7.5 Hodnotiť:
 

Every monkey'd like to be in my place instead of me
:)
Odpovedať Známka: 10.0 Hodnotiť:
 

Mama was queen of the mambo
Papa was king of the Bongo
Odpovedať Hodnotiť:
 

len zrovna ten je spojeny s takym reptilianom, ze moze byt iba svoj.
Odpovedať Známka: -2.0 Hodnotiť:
 

nerob chute
Odpovedať Známka: -3.3 Hodnotiť:
 

Preco, preco vo VW kontroluju na drogy??? A odvtedy som cisty... :/
Odpovedať Známka: 10.0 Hodnotiť:
 

By ta vyhodili za thc hej? :D a to ze sa polka naroda niekolko tyzdnov do roka otravi alkoholom to je fajn...
Odpovedať Známka: 0.9 Hodnotiť:
 

Berte drogy,fetujte,chlastajte.A hlavne pičujte na seba :)
Odpovedať Známka: 0.0 Hodnotiť:
 

Ano. Dokonca vraj k tomu dozivotny zakaz vstupu do arealu. Normalne do smutku toto... :/
Odpovedať Hodnotiť:
 

And remember: "Hugs, no drugs!"
Odpovedať Hodnotiť:
 

Krok sun krok, prd sun prd.
Odpovedať Známka: 10.0 Hodnotiť:
 

linuuux voeee
Odpovedať Známka: 3.3 Hodnotiť:
 

Kokot, ty si pán!
Odpovedať Známka: 3.3 Hodnotiť:
 

na tom zakladam!
Odpovedať Známka: 10.0 Hodnotiť:
 

Áno, osobne by som v prípade google už dávno nechal zadné vrátka v Androide, aby jadro bolo aktualizované nezávisle od nadstavby. Tým pádom by bol "jeden" centralizovaný server odkial sa aktualizuje len jadro s opravami a nedotklo by sa nadstavieb a úprav. Tým by sa vyriešilo aktualizovanie starých telefónov na ktoré výrobcovia iebú.
Neviem však čo by to spôsobilo, nevidím do toho. Proste to hovorím ako konzument ktorý si niečo také vie predstaviť a má jednoducho zabezpečený telefón.
Odpovedať Známka: -4.3 Hodnotiť:
 

Yop, fakt do toho nevidis.
Odpovedať Známka: 5.6 Hodnotiť:
 

chlapeeee
verzia jadra je to najmenej dolezite na androide
vacsina funkcnosti a aj chýb je v tej jave co bezi nad tým jadrom
Odpovedať Hodnotiť:
 

Vrátka, kvalitné, si nechávajú len niektoré čínske MT. Hardvérové, priamo na MB.
Odpovedať Hodnotiť:
 

Predám kvalitné certifikáty pre Android overené NBU /nbusr123:)/
1ks za 1 bitcoitus.peace on Earth.
Odpovedať Známka: 4.3 Hodnotiť:
 

Hmm to mi nevadi. Ja pouzivam android 2.3 pre neho sa uz ani malware nepise.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár