Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Androkalipszis

2013.07.08. 14:56 | buherator | Szólj hozzá!

A napokban elég rendes sajtóvisszhangja volt a Bluebox bejelentésének, mely szerint egy 900 millió Android készüléket érintő sérülékenységet készülnek demózni a vegasi Black Hat konferencián. Az ilyen bejelentésekkel az a baj, hogy ugyan semmilyen konkrétumot nem tartalmaznak, de igyekeznek minél nagyobb riadalmat kelteni a látogatottság maximalizálása érdekében (lásd még: FUD, publicity stunt). 

Most azonban megjelent egy kódrészlet, melynek szerzője a Google foltja alapján reprodukálta a hibát, melyet feltehetően a Bluebox is bejelentett. A vicc az, hogy mikor múlt héten Dnet számba vette a lehetőségeket, ő is felvázolta ugyanezt a problémát, és ezzel a felismeréssel feltehetően nem volt egyedül

A ZIP (JAR, APK) archívumok tartalmazhatnak duplikált fájlneveket, a jarsigner viszont nem a teljes archívumot, hanem az abban található egyes fájlokat írja alá, így előállhat az az eset, hogy az eszköz az eredeti állomány eredetiségét ellenőrzi (és rendben találja), majd a kicsomagolás során ugyanez a fájl felülírásra kerül az azonos nevű, módosított változattal, így kompromittálva az alkalmazást. 

És hogy mindennek mi a hatása? Ismét Dnetre hivatkoznék:

[...] nehéz globális léptékben, tömegesen kihasználni ezt a sebezhetőséget, mivel az egyes készülékek más-más [tanúsítvánnyal vannak aláírva], így nem lehet egy általánosan működő, mind a 900 millió aktivált androidos eszközt támadó kódot létrehozni. "Aki a Google Play Store-t használja, nehéz támadni, de kérdéses, hogy mi a helyzet az egyéb megoldásokkal, például az Amazon Kindle Fire táblagépek saját boltjával vagy azokkal az országokkal (pl. Kína), ahol nincs Play Store, így saját megoldások működnek, a Google védőszárnyai nélkül."

[...]

"A kutatás ugyanakkor fontos dologra mutat rá, ami egyébként más területekre is kihathat, mivel hasonló aláírást használnak a Java Web Start alkalmazások és a - ma már kevésbé elterjedt - Java appletek"

Címkék: android kriptográfia blackhat digitális aláírás bluebox apk 8219321

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.