Android OS ujet z napako 'Lažni ID'.

Googlov operacijski sistem Android je bil ujet z lažnim ID-jem?? ranljivostjo, ki omogoča zlonamernim aplikacijam, da se lažno predstavljajo za zaupanja vredne storitve brez obvestila uporabnika.



Nedavno odkril Bluebox Security raziskovalna skupina, 'Lažni ID' omogoča kopiranje identitet posameznih aplikacij in njihovo uporabo za ugrabitev vašega telefona in vdor v uporabniške podatke.

»Vsaka aplikacija za Android ima svojo edinstveno identiteto, ki je običajno podedovana od identitete korporativnega razvijalca,« je v blogu zapisal CTO Bluebox Jeff Forristal. Vendar pa bo napaka kopirala identifikatorje in jih uporabila 'za zlobne namene.'





Razširjena napaka sega v izdajo Androida 2.1 v začetku leta 2010; vsi tisti, ki uporabljajo napravo KitKat pred Androidom 4.4, so lahko ranljivi.

Glede na Bluebox je Google v bistvu spustil žogo pri preverjanju, ali so aplikacije dejansko takšne, za katere pravijo, da so?? Od tod tudi ime 'Lažni ID'. S to ranljivostjo bi se hekerji lahko predstavljali kot Google Denarnica za dostop do finančnih in plačilnih podatkov NFC ali prevzeli nadzor nad celotno napravo tako, da posnemajo varnostno storitev podjetja 3LM.



»Podpisi aplikacij igrajo pomembno vlogo v varnostnem modelu Android,« je zapisal Forristal. »Podpis aplikacije določa, kdo lahko [to] posodobi, katere aplikacije lahko delijo njene podatke itd.«

»Namestitveni program za paket Android ne poskuša preveriti pristnosti verige potrdil; z drugimi besedami, identiteta lahko trdi, da jo je izdala druga identiteta, kriptografska koda Android pa ne bo preverila zahtevka (običajno se opravi s preverjanjem podpisa izdajatelja podrejenega potrdila glede na javno potrdilo izdajatelja),« je nadaljeval.

Google je potrdil, da je ustvaril popravek. Toda kot je poudaril BBC News, omrežni operaterji niso poslali popravka na tisoče občutljivih mobilnih naprav, proizvajalci pa so še vedno odprti za napad, če prenesejo določene aplikacije izven trgovine Google Play.

„Cenimo, da nam Bluebox odgovorno poroča o tej ranljivosti; Raziskave tretjih oseb so eden od načinov, kako je Android močnejši za uporabnike,« je Garonu v e-poštnem sporočilu povedal Googlov tiskovni predstavnik. „Po prejemu sporočila o tej ranljivosti smo hitro izdali popravek, ki je bil razdeljen partnerjem Android, pa tudi AOSP.

»Izboljšani sta bili tudi aplikacije Google Play in Verify, da bi zaščitili uporabnike pred to težavo,« so sporočili iz podjetja. 'Trenutno smo pregledali vse aplikacije, poslane v Google Play, in tiste, ki jih je Google pregledal zunaj Googla Play, in nismo videli nobenih dokazov o poskusu izkoriščanja te ranljivosti.'

Uporabniki Androida imajo morda več kot lažni ID, ki deluje proti njim: konec prejšnjega meseca so IBM-ovi varnostni raziskovalci razkrili visoko tvegano napako, ki vpliva na Android 4.3 , ki deluje na več kot 10 odstotkih naprav Android.

Opomba urednika: Ta zgodba je bila posodobljena ob 14:15. Eastern s komentarjem Googla.

Priporočena