neprihlásený Streda, 14. novembra 2018, dnes má meniny Irma   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Priamo vo firmvéri viacerých Android smartfónov rozličné zraniteľnosti

Značky: Androidbezpečnosť

DSL.sk, 14.8.2018


Vo firmvéri viacerých Android smartfónov sa nachádzajú bezpečnostné zraniteľnosti, ktoré zrejme nie sú výsledkom nových doteraz neznámych zraniteľností v samotnom Androide, sú špecifické pre dané zariadenia respektíve doinštalované aplikácie a sú výsledkom modifikácie Androidu výrobcami a operátormi.

Vyplýva to z informácií bezpečnostnej spoločnosti Kryptowire na minulotýždňovej hackerskej konferencii Def Con.

Spoločnosť tu prezentovala svoje zistenia, keď avizovala 47 objavených zraniteľnosť v 25 modeloch Android smartfónov, upozornil Bleeping Computer.

Nie je jasné akej technickej povahy sú dané zraniteľnosti a čo konkrétne technicky ich spôsobuje, v každom prípade následne typicky umožňujú na telefóne inštalovaným aplikáciám bez dostatočných pridelených oprávnení uskutočňovať akcie na ktoré by nemali mať právo. K reálnemu zneužitiu je tak typicky ešte potrebné aby si užívateľ nainštaloval aplikáciu od útočníkov, vzhľadom na bežné podvrhovanie infikovaných aplikácií aj v oficiálnych obchodoch nejde o až tak veľkú bariéru a dôsledkom môže byť vystavené veľké množstvo užívateľov.

Príkladmi dôsledkov zraniteľností je napríklad, že aplikácia bez akýchkoľvek oprávnení dokáže posielať SMS alebo čítať a modifikovať všetky SMS, vymazať užívateľove dáta bez akéhokoľvek potvrdenia, trvalo zablokovať zariadenie.

Viacero zraniteľností sa týka modelov menej renomovaných značiek, identifikované boli ale aj zraniteľnosti v smartfónoch LG, Sony, Nokia, Asus, ZTE, Oppo a Vivo. V prípade Nokie 6 a Sony Xperia L1 vie aplikácia s prístupom k externému úložisku vytvoriť a získať screenshot obrazovky a navyše v prípade oprávnenia na stiahnutie stavového riadka vie tak pristupovať k notifikáciám. Na LG G6 vie aplikácia bez oprávnení zablokovať telefón s potrebou resetovania do továrenských nastavení a teda stratou dát, ak predtým nebolo na zariadení povolené ADB.

Viaceré z identifikovaných zraniteľností už boli medzičasom výrobcami odstránené, na odstránení ďalších pracujú.

Zoznam zraniteľností je možné nájsť na stránkach Kryptowire.


      Zdieľaj na Twitteri



Najnovšie články:

Ďalšia krajina plánuje zakázať autá so spaľovacím motorom, už od 2030
Mnohé slovenské eshopy majú od dnes pár dní dopravu zdarma
Google mal dlhší výpadok, Nigeríjčania si presmerovali jeho IP
Telekom spustil až 877 Mbps 4G LTE
Ďalšia verzia HTTP bude UDP, založená bude opäť na návrhu Google
V najvýkonnejších superpočítačoch prvýkrát ARM a AMD Epyc procesory
Skladací smartfón Samsungu má prísť v marci, stáť cez 1500 eur
MacBook Pro majú problém s SSD, Apple ich zvoláva
Európa vybrala kde sa pokúsi pristáť na Marse
Rýchly bezpečný DNS 1.1.1.1 k dispozícii pre smartfóny


Diskusia:
                               
 

a Huawei zasa nic... vidite, ake je to krasne, ked vas spehuje priamo vyrobca? aspon vam nesaha na telefon nikto iny, len ten, o kom to viete :)
Odpovedať Známka: 7.3 Hodnotiť:
 

povest deraveho androidu od vyrobcov sa opat potvrdila. posielam zaplaty na diery.
Odpovedať Známka: -0.8 Hodnotiť:
 

s Apple, to je podobne, ako s tym mojim Huawei-om. tam ta spehuje uz niekto iny o kom to vies uz od zaciatku a tak sa stara o to, aby sa mu tam nikto dalsi nesral
Odpovedať Známka: 3.3 Hodnotiť:
 

Tak keď už sa nechať spehovat, tak na úrovni. Radšej sa nechám sledovať Apple a nie nejakým čínskym smradom.
Odpovedať Známka: 4.3 Hodnotiť:
 

Lebo Apple sa nevyraba v Cine
Odpovedať Známka: 0.0 Hodnotiť:
 

Vyraba, ale to neznamena ze ta spehuju cinania.
Odpovedať Známka: 1.4 Hodnotiť:
 

V cine sa vyraba HW. SW dodavaju amici. Spehuje ta SW.
Odpovedať Známka: 10.0 Hodnotiť:
 

Silne pochybujem, ze by sa cinanom podarilo do mikrokodu HW prepasovat spehovaci SW, ktory by si navrhari HW ani vyvojari OS nevsimli. A silne pochybujem, ze by sa s nimi chceli delit o tie info a nechali im to tam.

Odpovedať Známka: 10.0 Hodnotiť:
 

ano Soros, Rockefellerovci, Rothschildovci a Radicova nas spehuju kazdym dnom i nocou. Pozeraju ako si mastime brka nad pornhub a ako kazdy den sedime 8 hodin v praci a cumime do monitoru. Po praci si skocime na pivo alebo zasportovat a uz si mydlia ruky nad nasimi par tisic EUR bankovimi kontami, ktore nam uchmatnu... Kua tie nase zivoty musia byt sakra zaujimave pre nich!
Odpovedať Známka: -3.3 Hodnotiť:
 

dalsi co nepochopil cenu informacie a ako funguje sucasny model fungovania najvacsich firiem.
ak by ta google nespehoval, tak nikdy nepatri medzi najvacsie a najbohatsie spolocnosti

a, sice nam sa to nezda, ked firmy tvrdia, ze "pocuvaju zakaznikov", pretoze ti co chodime takto na fora a nieco chceme alebo nechceme, tak to nedostaneme. ale oni "pocuvaju zakaznkikov" prave tymto "spehovanim", aby dali produkty na trh podla ich preferencii. a trh s blbymi ludmi je trocha vacsi, ako s tymi co si vedia povedat co chcu a nechcu
Odpovedať Hodnotiť:
 

Povedz mi čo je v dnešnej dobe bezpečné. Nič.
Odpovedať Známka: 3.3 Hodnotiť:
 

co je bezpecne? moja byvala frajerka. 100% bezpecna. odvtedy co ju znasilnila tlupa ciganov tak nosi tazer, vojensky noz, sprej na medvedov a naostrene kladivo. nechci ju stretnut v noci. a to nehovorim ze chodi na bojove kurzy odvtedy. inac trocha ju to poznacilo ma take hobby teraz prechadzat sa v noci a caka kto ju vyprovokuje. hned mu ukaze exploit. Doporucucujem pozerat TV Joj noviny za par tyzdnov tam urcite bude.
Odpovedať Hodnotiť:
 

a pritom by stacila plynova pistol
Odpovedať Hodnotiť:
 

Aj teba to poznacilo, ze je byvala?
Odpovedať Hodnotiť:
 

Horse nez Windows toto.


Zabite niekto Amdrojid predtym ako stihne naklast vajcaaa

Odpovedať Známka: -2.0 Hodnotiť:
 

Chyby ma vsetko, ze OEM zaviedli nove bugy je normalne a bolo by prekvapenim ak by ziadne neobsahovali.

Odpovedať Hodnotiť:
 

Tam k tomu prispieva aj to ze kazdy vyrobca si tam da svoju nadstavbu a svoj modifikovany android, ktory po roku dvoch ani neupdatuje... Preto sa oplati aj pozerat po takych telefonoch kde si clovek potom moze dat lineageos alebo nieco podobne.
Odpovedať Známka: 8.5 Hodnotiť:
 

Riešenie zraniteľností vo firmvéri cez lineageos alebo nieco podobne je odborne nazývané voodoo a na sliepky, ako i iné druhy vesmírnych jašterov, priekazne neplatí.
Odpovedať Známka: 6.0 Hodnotiť:
 

problemom s LineageOS je ze vyzaduje rootnuty mobil a dost vela aplikacii odmieta potom bezat.

takze nakoniec clovek skonci bud so starym deravym androidom od vyrobcu na ktorom mu budu bezat aplikacie alebo s plne updatnutym LineageOS na ktorom zase tie aplikacie bezat nebudu.
Odpovedať Známka: 5.0 Hodnotiť:
 

Ktore aplikacie ti nechcu bezat bez rootu?

Len pre zaujimavost by som to chcel vediet, kedze pouzivam lineageos, predtym cyanogenmod uz 4 roky a este som nenatrafil na appku, ktora by nebezala kvoli rootu.

Niektore free hry nechcu bezat lebo nemam vobec google play services, ale to mi nevadi, kedze spusta inych hier bezi v poho.
Odpovedať Hodnotiť:
 

Mne napr. nefungovala aplikacia na internet banking na rootnutom stock rom.
Odpovedať Hodnotiť:
 

Z tych, ktore by som rad pouzival ale mi neidu: hocico od Barclays (ci uz ich mobile banking alebo Barclaycard), TfL Oyster (cestovna karta na metro) alebo MyEE (aplikacia od mobilneho operatora).
Odpovedať Hodnotiť:
 

Rootuj cez Magisk. Cez SuperSU mi nešlo Google Pay na Resurrection Remix (LineageOS), s Magiskom všetko funguje.
Odpovedať Hodnotiť:
 

Sice som to neskusal, ale z diskusii pri jednotlivych aplikaciach (ktore spominam vyssie) som vycital, ze ani cez SuperSU ani cez Magisk tie aplikacie nefunguju. Niektore starsie verzie bezali cez Magisk, ale novsie verzie uz nebezia ani cez Magisk. A nainstalovat starsiu verziu tiez nie je riesenie, pretoze starsie verzie boli zablokovane.
Odpovedať Hodnotiť:
 

Stačí odomknúť bootloader..root nie je nutný. Len ak chceš ešte viac možností.

A root sa dá schovať..

Odpovedať Známka: 3.3 Hodnotiť:
 

LineageOS nema roota, resp. SU (da sa doinstalovat), problemom teda nebude root, ale pravdepodobne odomknuty bootloader.
Pricinou je SafetyNet, viac je o nom napr. tu, tu a tu ... ok, tak len tu https://koz.io/inside-safetynet/
Odpovedať Hodnotiť:
 

je to mozne, lebo aj ked som odinstaloval SU, resp. som zakazal root v nastaveniach, tak tie aplikacia stale nefungovali. je to velmi iritujuce.

da sa to nejako obist?
Odpovedať Hodnotiť:
 

100 dier tyzdenneee
Odpovedať Známka: 10.0 Hodnotiť:
 

az to pili usi
Odpovedať Známka: 10.0 Hodnotiť:
 

ked si to po sebe citam s odstupom casu, tak to vyznieva trochu inak nez som zamyslala. nevadi :D
Odpovedať Známka: 10.0 Hodnotiť:
 

A v iných novinkách - sumeri objavili koleso. Zranitelnosti Androidu, hlavne na čínskych telefónoch? To hádam nie...
Odpovedať Známka: 10.0 Hodnotiť:
 

apple vydal novy ios a do pol dna uz vysiel jailbreak, tak aka bezpecnost?
Odpovedať Hodnotiť:
 

povedz mi, co ma jailbreak verzia iOS spolocne s bezpecnostou?
Odpovedať Hodnotiť:

Pridať komentár