Κενό ασφαλείας φανερώνει κλειδί-πασπαρτού στο 99% των συσκευών Android.

[flik]

Νεοσύστατη εταιρεία ανάπτυξης λογισμικού ασφάλειας για smartphone και tablet ανακοίνωσε ότι εντόπισε σοβαρό κενό ασφάλειας που συνεχίζει να υπάρχει στο λειτουργικό σύστημα Android επί 4 χρόνια, αφήνοντας εκτεθειμένους εκατομμύρια χρήστες σε προσπάθειες πλήρους ελέγχου και καταγραφής του περιεχομένου των συσκευών τους. Μάλιστα, η Bluebox υποστηρίζει ότι είναι εξαιρετικά δύσκολο να συντονιστούν κατασκευαστές, δίκτυα και δημιουργοί app για να στείλουν μαζικά τις απαραίτητες ενημερώσεις που απαιτούνται για να κλείσει η κερκόπορτα.Την μέθοδο με την οποία μπορούν αδιόρατα να καταστούν μαριονέτες εκατομμύρια συσκευές με Android εντόπισε μια νεοσύστατη εταιρεία από το Σαν Φρανσίσκο που ειδικεύεται στις λύσεις ασφαλείας για smartphone και tablet. Η ευπάθεια, δηλώνουν οι ερευνητές της Bluebox, έγκειται στον μηχανισμό πιστοποίησης της εγκυρότητας των app για Android (το μοντέλο ασφάλειας στο Android), και επιτρέπει στον επιτιθέμενο να τροποποιήσει το περιεχόμενο του πακέτου τους (APK) χωρίς να αλλάξει την κρυπτογραφημένη υπογραφή τους (cryptographic signature), παρά την επέμβαση στον κώδικα του app.

 

Έτσι, Android app μετατρέπονται σε Δούρειους Ίππους που κρύβουν μέσα στο APK τους λογισμικό που μπορεί να εξυπηρετεί δόλιους σκοπούς (malware), εξηγεί στον δικτυακό τόπο της Bluebox o Jeff Forristal. H δόλια επέμβαση που μπορεί να υποστεί οποιοδήποτε app περνά απαρατήρητη από το app store όπου διατίθεται, το τηλέφωνο και τον τελικό χρήστη, επισημαίνει ο Forristal. Μάλιστα, η κερκόπορτα υφίσταται ήδη από την διάθεση της έκδοσης 1.6 του Android, δηλαδή επί τέσσερα χρόνια και εκτιμάται ότι αφορά 900 εκατομμύρια συσκευές.

 

Ακόμα, οι ερευνητές της BlueBox Security δηλώνουν πως το ρίσκο αυξάνεται και η κατάσταση επιδεινώνεται όταν η επέμβαση γίνεται σε app που αναπτύσσουν οι ίδιες κατασκευαστές των συσκευών ή τρίτοι που συνεργάζονται στενά μαζί τους (π.χ. Cisco AnyConnect VPN). Όπως εξηγούν, οι κατασκευαστές έχουν αυξημένα δικαιώματα πρόσβασης στην συσκευή (System UID), τα οποία μεταβιβάζονται εν αγνοία τους και στους επίδοξους εισβολείς. Σε αυτή την περίπτωση, μπορούν να διαβάσουν e-mail, SMS, έγγραφα κ.λπ.), να ανακτήσουν στοιχεία εισόδου σε λογαριασμούς και password αλλά και να χειριστούν όλες τις κλασικές λειτουργίες ενός τηλεφώνου, όπως την πραγματοποίηση κλήσεων, την αποστολή μηνυμάτων, την ενεργοποίηση της κάμερας ή την εγγραφή κλήσεων. Τέλος, οι εισβολείς θα μπορούσαν ακόμα και να ελέγξουν από απόσταση τις συσκευές που έχουν μολύνει, δημιουργώντας μια στρατιά Androidών-ζόμπι.

 

Η BlueBox δηλώνει πως έχει ενημερώσει την Google σχετικά ήδη από τον Φεβρουάριο του 2013 και εναπόκειται σε κατασκευαστές και χρήστες να κλείσουν την κερκόπορτα, αφού διαθέσουν οι μεν, και εγκαταστήσουν οι δε, τις απαραίτητες ενημερώσεις. Ωστόσο, η διαθεσιμότητα των λεγόμενων firmware updates αναμένεται να ποικίλλει σε εύρος και χρόνο, ανάλογα με το μοντέλο και τον κατασκευαστή αλλά και τα δίκτυα κινητής τηλεφωνίας που επίσης συχνά επεμβαίνουν στις συσκευές που διαθέτουν και έχουν System UID. Το ρίσκο αυξάνεται για συσκευές που ο κατασκευαστής τους έχει δηλώσει ότι δεν συνεχίζει να «περιποιείται», αφού σταματάει την διάθεση σχετικών updates (όπως έκανε πρόσφατα η HTC για το HTC One S).

 

Η BlueBox πρόκειται να παρουσιάσει όλες τις τεχνικές λεπτομέρειες στο συνέδριο Black Hat USA 2013 και προς το παρόν αρκείται να δημοσιεύει ένα screenshot που αποδεικνύει την δυνατότητά της να επέμβει στο λογισμικό ενός κατασκευαστή, αν και ανώδυνα, αλλάζοντας το όνομα σε ένα από τα χαρακτηριστικά του τηλεφώνου, κάτι για το οποίο απαιτείται πρόσβαση σε επίπεδο συστήματος. Εντούτοις, η BlueBox είχε αποκτήσει όλα τα δικαιώματα στην συσκευή.

 

O Forristal επιβεβαίωσε στο δίκτυο IGN ότι τουλάχιστον ένας κατασκευαστής και μια συσκευή δεν απειλείται από το "bug 8219321" (Samsung Galaxy S4) και ότι η Google δεν έχει ολοκληρώσει την διάθεση σχετικών ενημερώσεων «στα δικά της» Nexus.

 

Πάντως, το The Next Web, το Verge και άλλοι δικτυακοί τόποι επισημαίνουν πως οι εισβολείς θα πρέπει να βρουν τρόπο να διαθέσουν το μολυσμένο app -το επίσημο Google Play εμφανίζεται να έχει ανοσία από τέτοιου είδους επεμβάσεις και στα τέλη Απριλίου η Google απέκλεισε την δυνατότητα ενημέρωσης app με άλλο μηχανισμό πλην από τον επίσημο στο Google Play. Ωστόσο, δεν είναι σπάνιο χρήστες συσκευών με Android να στρέφονται σε εναλλακτικά καταστήματα διάθεσης app που δεν έχουν ανάλογους μηχανισμούς πιστοποίησης της εγκυρότητας των app που ανεβάζουν στα ράφια τους, ή να ανεβάσουν ψευδείς παραπομπές σε δημοφιλή app μέσω e-mail «ψαρέματος» (phishing) ή στο WWW.

 

 

Πηγή: tech.in.gr

Πηγή: Arstechnica

Πηγή: BBC Technology

Επεξ/σία 6 Ιουλίου 2013 από flik

[kostas_dr]

Νεοσύστατη ε;

[Gi0]

Νεοσύστατη ε;

Και?

[flik]

Εδώ πληροφορίες για την εταιρεία.

[kostas_dr]

Και?

Δεν λέω ότι είναι εξ' ορισμού μούφα, αλλά μου κάνει εντύπωση (όχι απαραίτητα αρνητική) πως μια καινούργια εταιρεία βρήκε κενό στο 99% των συσκευών.

[Gi0]

Δεν λέω ότι είναι εξ' ορισμού μούφα, αλλά μου κάνει εντύπωση (όχι απαραίτητα αρνητική) πως μια καινούργια εταιρεία βρήκε κενό στο 99% των συσκευών.

Διαβασα ενα ωραιο tweet πριν λιγο:

"900 million devices at risk" sounds so much better than, yeah I have a local code signing issue

Ασχετως του τι ακριβως ισχυει, απ οτι φαινεται υφισταται καποιο θεμα ασφαλειας το ευρος του οποιου θα το μαθουμε στο τελος του μηνα.

Σχετικα με το "νεοσυστατη": Kαι η Google νεοσυστατη ηταν καποτε, ενω δεν ειναι σπανιο το φαινομενο μηχανικοι των x,y,z γνωστων εταιριων να αποχωρουν και να δημιουργουν μια δικια τους εταιρια. Νεοσυστατη μεν, με τα μελη της να διαθετουν εμπειρια δεκαετιων δε. Και εαν κρινω απο τα ποσα και τους ανθρωπους που επενδυσαν σε αυτη, ολο και κατι της προκοπης θα παιζει.

Κοινως μην αφηνεις να σε επηρεαζει ο τιτλος της.

[billstamaniac]

to android εχουν καταντησει χειροτερα απο windows me

[Gtr34]

Όπου υπάρχουν πολλά πίτουρα τα τρώνε οι κότες

[hackerW32]

στου κουφού την πορτα

πάρτη πόρτα και φύγε

 

--------------

απο οτι καταλαβα στο google play δεν μπορεις να ανεβασεις τετοια εφαρμογη, οχι τωρα τουλαχιστον

 

το να κατεβασεις μια εφαρμογη απο το ιντερνετ τσαμπα ενω αυτη ειχε 0.99+ ευρω εχει παντα ενα ρίσκο

πρεπει να ξερεις απο που κατεβαζεις, να εχει κομμεντ απο κατω π.χ. όπως γινετε και σε γνωστα πειρατικα site.

 

 

 

 

 

Επειδη το ποστ μου διεγραφη ηθελα να ενημερωσω στους μοντς οτι ηταν απλα ειρωνικο και φυσικα δεν συμφωνουσα με αυτο που ειχε γραψει ο χρηστης πιο πανω(ισα ισα το εβρισκα εμετικο)

εχουν ανακαλυφθεί και τα pm, μην τρέπεσαι να στείλεις πμ στους μοντ, δεν δαγκάνουν

 

 

[MoviemakerGr]

Εγώ γιατί κατάλαβα άλλο ότι το θέμα είναι στην πιστοποίηση της εγκυρότητας των app ?

με πλάκωσε καμιά πόρτα πρωί πρωί ?

[Meraklis56]

Long Story Short:

Κινδυνεύεις μόνο αν κατεβάζεις .apk από το ίντερνετ και μόνο αν ο κατασκευαστής σου δεν το έχει επιδιορθώσει.Επίσης από το play store δεν κινδυνεύεις.

 

http://gigaom.com/2013/07/04/heres-why-most-users-wont-be-affected-by-the-latest-android-flaw/

[paredwse]

Long story even shorter:

Υπάρχει σοβαρό κενό ασφαλείας στο λειτουργικό σύστημα.

[Timonkaipumpa]

Σιγά την είδηση..

 

Αυτό δεν είναι τίποτα σε σχέση με το κενό ασφαλείας στην οθόνη κλειδώματος του iOS.. 

 

 

Σιγά τώρα το κενό.. επειδή έχει κενό ασφαλείας το λειτουργικό; Οθόνη κλειδώματος ρέη.. εκεί είναι η όλη σημασία. 

[angmar]

Το amazon appstore και το f-droid παρέχουν άραγε παρόμοια προστασία;

[morgan21]

Σιγά την είδηση..

 

Αυτό δεν είναι τίποτα σε σχέση με το κενό ασφαλείας στην οθόνη κλειδώματος του iOS.. 

 

 

Σιγά τώρα το κενό.. επειδή έχει κενό ασφαλείας το λειτουργικό; Οθόνη κλειδώματος ρέη.. εκεί είναι η όλη σημασία. 

Οτι δεν πιανει η αλεπου

Τουλαχιστον στο iOS θα επρεπε ο αλλος να παρει την συσκευη σου στα χερια του!!!