Posted by MinO | 0 comments

Νέο κενό ασφαλείας στο Android


Μια ομάδα ερευνητών των Bluebox Labs εντόπισαν και ανέλυσαν ένα κενό ασφαλείας που επηρεάζει τις εκδόσεις του Android από την 2.1 έως την 4.4 για το οποίο η Google εξέδωσε patch και το διέθεσε στους συνεργάτες της και στο Android Open Source Project.

Το Fake ID όπως το ονόμασαν μπορεί να εκμεταλευτεί τον τρόπο που γίνεται ο έλεγχος της ασφάλειας σε μια εφαρμογή και η διαχείριση των πιστοποιητικών, και να εκτελέσει άλλον κώδικα ή εφαρμογή εκτός αυτής για την οποία έχει τα δικαιώματα.

Κάθε Android εφαρμογή αποκτά την δική της μοναδική κρυπτογραφημένη υπογραφή μέσω της οποίας καθορίζεται ο "ιδιοκτήτης" της και τι δικαιώματα έχει και το όλο λειτουργικό βασίζεται σε αυτά τα πιστοποιητικά για την σωστή λειτουργία των εκτελούμενων εφαρμογών.


There are "parent certificates" and "child certificates," which are checked against one another upon installation to ensure they match up and the app is trusted.

The parent, usually handed down by the original software creator, effectively proves the child is worthy of being trusted, as part of what is known as the "certificate chain".

Οι ερευνητές επέδειξαν την χρησιμοποίηση πιστοποιητικού της Adobe Systems με κακόβουλο σκοπό, αφού επιτρέπει την φόρτωση HTML κώδικα σε οποιαδήποτε άλλη εφαρμογή, κάνοντας έτσι εφικτή την εκτέλεση κακόβουλου κώδικα, ενώ με παρόμοιο τρόπο μπορεί να ξεγελαστεί το NFC certificate και να αποκτηθεί πρόσβαση σε οικονομικά στοιχεία όπως το Google wallet.

[via]

0 comments: