Поддельный идентификационный дефект подвергает пользователей Android риску

Безопасность Bluebox показывает фундаментальные дефекты в том, как Android проверяет идентификационные данные разработчиков приложений. Полная подробная информация будет предоставлена на предстоящем событии Black Hat.Наконец Black Hat года конференция США, Джефф Форристэл показал влияние уязвимости Главного ключа миллионы пользователей Android.

Для предстоящего события Black Hat 2014 года Форристэл вернулся к другому глубокому дефекту в Android, на этот раз Поддельная идентификационная уязвимость, которая могла позволить атакующим исполнить роль разработчиков действительного приложения.Форристэл планирует предоставление полной подробной информации Поддельного идентификационного дефекта, идентифицированного как ошибка Google 13678484, на сессии в Black Hat США 2014, который работает 4-7 августа в Лас-Вегасе.

Forristal является CTO безопасности Bluebox, компания, которая фокусируется на мобильной безопасности.«Блуебокс обнаружил уязвимость в том, как Android обрабатывает идентификационные данные цифровой подписи, которые присоединены к приложениям для Android», сказал Форристэл eWEEK.

Форристэл объяснил, что его команда смогла счесть путь отличающимся от уязвимости Главного ключа, он представил в 2013 использовать Android. С Главным ключом Bluebox нашел семью ошибок, которые позволяют атакующему обходить процесс верификации подписи Android. Включая тот обход, злонамеренному приложению для Android можно было потенциально позволить работать на устройстве пользователя.

С новой Поддельной идентификационной уязвимостью приложения в состоянии мошеннически использовать идентификацию законного автора приложения.«Таким образом, атакующий может создать вредоносное программное обеспечение и использовать Поддельный идентификатор, чтобы утверждать, что они — Adobe, например», сказал Форристэл. «Таким образом, теперь, когда пользователь устанавливает приложение атакующего, Android предоставляет приложению специальный доступ».

Android фактически трудно закодирован для предоставления приложений от Adobe специальные полномочия, такие, что Adobe разрешают быть плагином для других приложений, объяснил Форристэл. В случае Поддельной идентификационной уязвимости вредоносному приложению можно тогда позволить ввести вредоносный код в любое другое приложение.Существуют другие идентификационные данные вне просто того Adobe, которым может потенциально злоупотребить Поддельная идентификационная уязвимость. Атакующий мог, например, эффективно использовать идентификационные данные Google Wallet, сказал Форристэл.

Google Wallet является платежной системой, которая интегрирована с Android и может включить связь малого радиуса действия (NFC) для операций.«Обычно Android обеспечивает брандмауэр, который не позволяет ничему кроме Google Wallet управлять операциями кредитной карты безопасного элемента NFC», сказал он. «При наличии идентификационных данных Google Wallet наше вредоносное программное обеспечение может обойти брандмауэр и говорить с аппаратными средствами».С точки зрения модели обеспечения безопасности способность проверить идентификационные данные является хорошо понятым процессом в мире веб-браузера. С любым стандартным веб-браузером защищенные сайты имеют сертификаты Уровня защищенных сокетов (SSL), которые могут быть проверены через центр сертификации (CA).

Каждый веб-браузер имеет механизмы, которыми подлинность сертификата SSL может быть проверена с CA, включая использование Онлайнового протокола состояния сертификата (OCSP). Android Google, однако, не следует за той же моделью для проверки безопасности, как мир браузера имеет в течение прошлого десятилетия.


3 комментария

  1. Все верно за все нужно платить. Крым в обмен на разрыв дружбы. А националистов в Украине до марта 2014 было гораздо меньше чем в самой Расии. Всегда нужно ставить себя на место опонента и тогда поймешь, можно ли такое простить.

  2. Скажи, а киевский универ гражданской авиации так и выпускает *лётчиков* без лётных книжек, т.е. с нулевым налётом?

  3. Ну раз сильнейшая армия цевропы не смогла прогнать, конечно остался последний аргумент- голодные бабушки, не видевшие пенсию 2 года, со швабрами на танки.

Комментарии закрыты.