В Android обнаружена суперуязвимость
Эксперты IT-агентства Bluebox Labs обнародовали данные о критическом эксплоите Android, позволяющем хакерам втайне от пользователей заиметь контроль над функционалом сматфонов и над хранящимися там личными данными.
Не так давно Bluebox Labs уже сообщала Google о найденной бреши. IT-гигант тогда оперативно «залатал» брешь.
Найденную уязвимость в BlueBox окрестили Fake ID (что то вроде «фальшивого удостоверения»), поскольку она способна обмануть систему проверки цифровых сертификатов, выдав зловредное приложение за настоящее, предоставленное официальным поставщиком, которому разрешен абсолютный системный доступ.
Суть уязвимости состоит в процедуре проверки цифровых подписей, поскольку Android в действительности не сопоставляет взаимосвязь дочерней цифровой подписи с родительской, а просто предполагает такую взаимосвязь, что в итоге стало фундаментальной проблемой для самого Android.
К примеру, приложение заявляет системе, что является продуктом Adobe Systems, а Android данное заявление не не проверяет, наделяя приложение правами, выдаваемыми исключительно официальным решениям Adobe. Как итог: злоумышленник хакер может запустить зловредный код, прикрывшись, например, плагином Flash. Все это похоже на ситуацию, при которой вор показывает охраннику фальшивый пропуск, а охранник, даже не совершив контрольный звонок в «кадры», а просто посмотрев на предъявленный поддельный документ, пропускает вора в здание.
Не так давно Bluebox Labs уже сообщала Google о найденной бреши. IT-гигант тогда оперативно «залатал» брешь.
Найденную уязвимость в BlueBox окрестили Fake ID (что то вроде «фальшивого удостоверения»), поскольку она способна обмануть систему проверки цифровых сертификатов, выдав зловредное приложение за настоящее, предоставленное официальным поставщиком, которому разрешен абсолютный системный доступ.
Суть уязвимости состоит в процедуре проверки цифровых подписей, поскольку Android в действительности не сопоставляет взаимосвязь дочерней цифровой подписи с родительской, а просто предполагает такую взаимосвязь, что в итоге стало фундаментальной проблемой для самого Android.
К примеру, приложение заявляет системе, что является продуктом Adobe Systems, а Android данное заявление не не проверяет, наделяя приложение правами, выдаваемыми исключительно официальным решениям Adobe. Как итог: злоумышленник хакер может запустить зловредный код, прикрывшись, например, плагином Flash. Все это похоже на ситуацию, при которой вор показывает охраннику фальшивый пропуск, а охранник, даже не совершив контрольный звонок в «кадры», а просто посмотрев на предъявленный поддельный документ, пропускает вора в здание.
Теги: fake id, уязвимость
Внимание!
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
