dukebarman Jun 3 2013 at 09:50

Mercury — вестник android-багов

12 min

17K

Information Security *

+40

Comments 11

L3n1n Jun 3 2013 at 10:11

Не думал даже что от sql-инъекций может быть какой то толк в Android.
Но посмотрев несколько БД был очень удивлен почему мало кто обращает на это внимание.

megatron Jun 3 2013 at 11:26

Немного не по теме, но вот наглядный пример халатности:
Evernote хранит ваши заметки в открытом виде на карте памяти в папочку sdcard/Evernote.
Был неприятно удивлен подобному функционалу.

quarck Jun 3 2013 at 12:05

Я, и наверное не только я, писал им об этом в саппорт, просил прикрутить какие-нибудь шифрование. Только воз и ныне там, писал я уже больше года назад.

Выручает шифрование карты памяти и внутреннестей телефона в таких случаях.

dukebarman Jun 3 2013 at 16:52

Можно даже создать отдельную шифрованную ОС Android на устройстве. Со своими контактами, смс и т.д.

quarck Jun 3 2013 at 17:23

Я так и сделал на своем S3. Система на внешней sd карте живущая — польностью шифруется (через dm-crypt / cryptsetup ). Т.е. есть два независимых окружения — живущее на внутренней sd, и живущее на внешней sd, никак меж собой не связанные. Сделано через самоделки всякие (github.com/quarck/csetup), выбор что грузить — при старте устройства. Удобно еще и тем, что можно поменять sd карту, и получить совершенно другой environment, например для тестирования чего-либо.

isox Jun 3 2013 at 14:15

Походу, ты заработал от Тохи бутылку виски :)

dukebarman Jun 3 2013 at 16:16

Обещали вручить…

isox Jun 3 2013 at 16:29

Мужик :)
А я все никак не наработаю на нее :)

fil9 Jun 3 2013 at 14:46

Не знаю как на остальных Android'ах, но на моём 2.3.3 стандартный браузер падает от простого переполнения переменной.
Что-то вроде этого:

var a=''; //String
for(var i=1;i<=500000;i++){var a='A'+a+a+a};

И все. Я даже gdb на Android поставил, пока узнавал, почему же падает :)

shadowjack Jun 3 2013 at 17:45

Ну так а вектор атаки-то какой? Предложить пользователю сделать SQL-инъекцию на своём собственном устройстве? (Что-то навроде классического способа размножения вирусов под Linux — «Ух ты, вирус? Дай посмотреть» :-) )

dukebarman Jun 3 2013 at 18:23

Пример «атакующего» кода, который будет проводить sql-запросы к БД, я указал в статье. А уж как его встроить и реализовать запуск: по кнопке, по времени или команде из сети, — решать Вам.