Fake ID: certifikat bedrägeri tillåter Android apps för att bryta sig ur sandlådan
Fake ID: certifikat bedrägeri tillåter Android apps för att bryta sig ur sandlådan
Fake ID: certifikat bedrägeri tillåter Android apps för att bryta sig ur sandlådan
Forskarna i "Fake ID" döpt lucka tillåter appar att säkra de särskilda rättigheter Android-systemprogram och så bryta sig ut ur säkerhetssandlåda. Ungefär som en tonåring som är otrogen med falsk legitimation i en nattklubb.
Forskare vid bevakningsföretag Bluebox Security har upptäckt ett problem med undersökningen av certifikat i Android app. Detta gör att skadliga program för att bryta sig ut ur säkerhetssandlådan i operativsystemet. Detta är möjligt eftersom vissa VIP Apps Android legitimt tillåtet att kringgå sandlådan, till exempel Adobe Flash Player. En angripare kan skapa genom sårbar certifikatet som VIP app och dess skadliga app säkra lika rättigheter. Installerar användaren detta kan göra appen på enheten, vad hon vill.
Forskarna kallar det här problemet "Fake ID", eftersom de kvasi apps bete sig som en tonåring som smyger med falska identitetskort i en nattklubb. Problemet finns i paketet installationssystemet Android sedan version 2.1 från år 2010 Den nuvarande versionen 4.4 (KitKat) är lika sårbar som utvecklare förhandsvisning av Android 5.0 ("Android L").
Operativsystemet kontrollerar anslutningarna i certifikatkedjor korrekt, så att varje certifikat kan göra anspråk på att ha undertecknats av ett annat certifikat. Detta allvarliga fel orsakar säkerhetssandlådan ad absurdum. Som ett exempel på långtgående administrativa rättigheter som kan stjäla skadliga program som ger forskare vid säkerhets apps tillverkaren 3LM, som nu tillhör Motorola.
Detaljer om gapet på Bluebox forskarna vill tillkännage i en presentation på Black Hat konferensen. Google sade den amerikanska nyhetssajten Ars Technica, Bluebox har redan rapporterat gapet till Android beslutsfattare. Ett plåster har redan införts i Android Open Source Project (AOSP) och distribueras till Android tillverkare. Mer detaljer skulle inte namnge företaget dock. Du har hittat i Google Play katalog några apps som drog fördel av säkerhetshål ..
Ärvt från Apache Harmony
I en intervju med webbplatsen Ledger säkerhetsforskare från green antydde att den felaktiga kontrollintyg kod från Harmony projekt har sitt ursprung. Den nu nedlagda projektet, tidigare under ledning av Apache Software Foundation (ASF), utgjorde grunden för Googles Dalvik Java VM. Uppenbarligen hade de Android-utvecklare inte märkt säkerhetsproblem när man tar över Harmony koder.
I Android Dalvik L bör ersättas med Googles nya Android Runtime (ART). I vilken utsträckning skillnaderna i ART finns också, är för närvarande oklart. Enligt Bluebox systemet utvecklaren förhandsvisning av Android L var också utsatta i sina försök och forskarna kunde testa sina appen samma rättigheter som säker Adobes Flash Player.
Forskarna i "Fake ID" döpt lucka tillåter appar att säkra de särskilda rättigheter Android-systemprogram och så bryta sig ut ur säkerhetssandlåda. Ungefär som en tonåring som är otrogen med falsk legitimation i en nattklubb.
Forskare vid bevakningsföretag Bluebox Security har upptäckt ett problem med undersökningen av certifikat i Android app. Detta gör att skadliga program för att bryta sig ut ur säkerhetssandlådan i operativsystemet. Detta är möjligt eftersom vissa VIP Apps Android legitimt tillåtet att kringgå sandlådan, till exempel Adobe Flash Player. En angripare kan skapa genom sårbar certifikatet som VIP app och dess skadliga app säkra lika rättigheter. Installerar användaren detta kan göra appen på enheten, vad hon vill.
Forskarna kallar det här problemet "Fake ID", eftersom de kvasi apps bete sig som en tonåring som smyger med falska identitetskort i en nattklubb. Problemet finns i paketet installationssystemet Android sedan version 2.1 från år 2010 Den nuvarande versionen 4.4 (KitKat) är lika sårbar som utvecklare förhandsvisning av Android 5.0 ("Android L").
Operativsystemet kontrollerar anslutningarna i certifikatkedjor korrekt, så att varje certifikat kan göra anspråk på att ha undertecknats av ett annat certifikat. Detta allvarliga fel orsakar säkerhetssandlådan ad absurdum. Som ett exempel på långtgående administrativa rättigheter som kan stjäla skadliga program som ger forskare vid säkerhets apps tillverkaren 3LM, som nu tillhör Motorola.
Detaljer om gapet på Bluebox forskarna vill tillkännage i en presentation på Black Hat konferensen. Google sade den amerikanska nyhetssajten Ars Technica, Bluebox har redan rapporterat gapet till Android beslutsfattare. Ett plåster har redan införts i Android Open Source Project (AOSP) och distribueras till Android tillverkare. Mer detaljer skulle inte namnge företaget dock. Du har hittat i Google Play katalog några apps som drog fördel av säkerhetshål ..
Ärvt från Apache Harmony
I en intervju med webbplatsen Ledger säkerhetsforskare från green antydde att den felaktiga kontrollintyg kod från Harmony projekt har sitt ursprung. Den nu nedlagda projektet, tidigare under ledning av Apache Software Foundation (ASF), utgjorde grunden för Googles Dalvik Java VM. Uppenbarligen hade de Android-utvecklare inte märkt säkerhetsproblem när man tar över Harmony koder.
I Android Dalvik L bör ersättas med Googles nya Android Runtime (ART). I vilken utsträckning skillnaderna i ART finns också, är för närvarande oklart. Enligt Bluebox systemet utvecklaren förhandsvisning av Android L var också utsatta i sina försök och forskarna kunde testa sina appen samma rättigheter som säker Adobes Flash Player.
Liknande ämnen
» Android malware använder SSL för kamouflage
» Flash 14 innehåller sex luckor, ger AIR x86 Stöd för Android
» Flash 14 innehåller sex luckor, ger AIR x86 Stöd för Android
Behörigheter i detta forum:
Du kan inte svara på inlägg i det här forumet
|
|