В Android обнаружена суперуязвимость
Не так давно Bluebox Labs уже сообщала Google о найденной бреши. IT-гигант тогда оперативно «залатал» брешь.
Найденную уязвимость в BlueBox окрестили Fake ID (что то вроде «фальшивого удостоверения»), поскольку она способна обмануть систему проверки цифровых сертификатов, выдав зловредное приложение за настоящее, предоставленное официальным поставщиком, которому разрешен абсолютный системный доступ.
Суть уязвимости состоит в процедуре проверки цифровых подписей, поскольку Android в действительности не сопоставляет взаимосвязь дочерней цифровой подписи с родительской, а просто предполагает такую взаимосвязь, что в итоге стало фундаментальной проблемой для самого Android.
К примеру, приложение заявляет системе, что является продуктом Adobe Systems, а Android данное заявление не не проверяет, наделяя приложение правами, выдаваемыми исключительно официальным решениям Adobe. Как итог: злоумышленник хакер может запустить зловредный код, прикрывшись, например, плагином Flash. Все это похоже на ситуацию, при которой вор показывает охраннику фальшивый пропуск, а охранник, даже не совершив контрольный звонок в «кадры», а просто посмотрев на предъявленный поддельный документ, пропускает вора в здание.

Теги: fake id, уязвимость
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.