Комментарии 68
Вы бы хоть картинку лучше нашли, чтоли.
Могли бы и решето найти, а то что это за дуршлаг?
Решето же!
Вот правильное решето! :)
upload.wikimedia.org/wikipedia/commons/8/8c/New_Animation_Sieve_of_Eratosthenes.gif
upload.wikimedia.org/wikipedia/commons/8/8c/New_Animation_Sieve_of_Eratosthenes.gif
НЛО прилетело и опубликовало эту надпись здесь
Без подробностей об уязвимости как-то совсем водянисто.
Что б было проще использовать уязвимость? Большинство андроид устройств не обновляются производителями и дырка никогда не будет закрыта.
Мне кажется хватит пальцев двух рук что бы перечислить тех кто обновляется )
Тогда зачем нужно было распространять информацию о том, что такая уязвимость существует? Рано или поздно эту уязвимость найдут и будут использовать, а тем более, с такой подсказкой.
Оно так. Но я говорю о том, что без подробностей и новости то нет: Серьёзный Баг, о котором известно не больше, чем то что он существует.
Я не очень понял, как приложение может модифицировать другие приложения без рут доступа. Кроме проверки подписей существуют еще и линуксовые права, которые не должны дать это сделать.
Распространять троянские приложения через гугл плей нельзя, но некоторые производители уже выкатывают патчи…
По ссылке короткая заметка, которая начинается со слов «This presentation is a case study»… и никаких дальнейших ссылок. «This very presentation...» В выдаче гугла по номеру бага три страницы со ссылками на эту презентацию. А. Это такое тонкое предложение зарегистрироваться на блэкхэт ком и ничего там не найти?
Похоже на сообщение от скайнета к моей паранойе, все мол ломается, расслабься. Секурь, не секурь. Да, я расслабился давно уже.
По ссылке короткая заметка, которая начинается со слов «This presentation is a case study»… и никаких дальнейших ссылок. «This very presentation...» В выдаче гугла по номеру бага три страницы со ссылками на эту презентацию. А. Это такое тонкое предложение зарегистрироваться на блэкхэт ком и ничего там не найти?
Похоже на сообщение от скайнета к моей паранойе, все мол ломается, расслабься. Секурь, не секурь. Да, я расслабился давно уже.
…
Я уж было подумал что ализар… желтизна ведь! Ни одной подробности
Такое возможно, НО только для системных приложении, которые модифицировать без рут-доступа невозможно, а если у вас рут без ограничений — то ССЗБ
Как такое возможно для пользовательских приложений не представляю. В статье нет ни одной детали… Если вы поменяли код приложения и заменили classes.dex в пользовательском приложении (apk). Даже это дейтсвие уже требует рута… Но даже если вы все таки умудрились это сделать, вам надо еще обмануть Андроид чтобы он не успел обработать факт изменения файла apk. Ибо он сразу же проверит что там поменялось и сравнит все подписи…
PS. Поверьте, проверено неоднократно, сам занимался прошивками > 1,5 лет начиная с Андроид 1.6. Имею статус Recognized Developer на XDA.
Такое возможно, НО только для системных приложении, которые модифицировать без рут-доступа невозможно, а если у вас рут без ограничений — то ССЗБ
Как такое возможно для пользовательских приложений не представляю. В статье нет ни одной детали… Если вы поменяли код приложения и заменили classes.dex в пользовательском приложении (apk). Даже это дейтсвие уже требует рута… Но даже если вы все таки умудрились это сделать, вам надо еще обмануть Андроид чтобы он не успел обработать факт изменения файла apk. Ибо он сразу же проверит что там поменялось и сравнит все подписи…
PS. Поверьте, проверено неоднократно, сам занимался прошивками > 1,5 лет начиная с Андроид 1.6. Имею статус Recognized Developer на XDA.
Может в dalvik cache можно поменять как-то без изменения apk?
Как вариант… Но, опять же, без рута никак.
Господа, в статье же явно сказано: распространяется зараженный apk.
Т е одна из схем заражения выглядит так:
1. пользователь скачивает программу (не вирус), скажем «калькулятор дифуров»
2. в какой то момент источник скачивания (сторонний репозиторий / 4pda / etc) компрометируется, туда заливается «подправленный» apk
3. пользователь обновляет программу. Ругани на то что «ключ не тот, автор не тот» не будет, соотв и вопросов не возникнет.
Если кратко, то сейчас модифицировать чужой apk можно только изменив его подпись. Эта же уязвимость позволяет модифицировать apk без изменения оной.
Т е одна из схем заражения выглядит так:
1. пользователь скачивает программу (не вирус), скажем «калькулятор дифуров»
2. в какой то момент источник скачивания (сторонний репозиторий / 4pda / etc) компрометируется, туда заливается «подправленный» apk
3. пользователь обновляет программу. Ругани на то что «ключ не тот, автор не тот» не будет, соотв и вопросов не возникнет.
Если кратко, то сейчас модифицировать чужой apk можно только изменив его подпись. Эта же уязвимость позволяет модифицировать apk без изменения оной.
М-да… Муть какая-то… Что значит: "… позволяет обмануть Android и он будет думать, что приложение не было изменено"?
Он что, в каких-то ситуациях не проверяет валидность подписи? И что это за такая подпись, которая позволяет изменить приложение не изменив подпись? Такого в принципе не должно быть, иначе это никакая не подпись а просто имитация безопасности…
Он что, в каких-то ситуациях не проверяет валидность подписи? И что это за такая подпись, которая позволяет изменить приложение не изменив подпись? Такого в принципе не должно быть, иначе это никакая не подпись а просто имитация безопасности…
Подпись проверяется например при обновлении приложения в маркете.
А вообще картинок в статье больше, чем смысла!
А вообще картинок в статье больше, чем смысла!
В приложении используется только SHA-1 подпись. У хэшей могут быть коллизии, даже статья с реализацией для md5 была. Может ли подобное использоваться для изменения бинарников таким образом, чтобы подписи совпадали?
И что это за такая подпись, которая позволяет изменить приложение не изменив подпись? Такого в принципе не должно быть, иначе это никакая не подпись а просто имитация безопасности…
Вообще-то, если подпись является частью файла, а не поставляется отдельно, то подписать весь файл по понятным причинам невозможно. Т.е. вполне могут оставаться участки файла, которые можно модифицировать, не ломая подпись. Это, между прочим, можно проделывать с виндовой Authenticode подписью, и гугл уже давно это использует (например в инсталлере Google Chrome: при скачивании в него зашивается информация о пользователе, но подпись при этом не меняется). Другое дело, что работа приложения никак не должна зависеть от этих участков, а если это невозможно, то их тоже нужно верифицировать.
Кстати, только вчера купил себе Гугло-Nexux 7. Как только принес его домой и законнектился к интернету, сразу выскочило окно с информацией о том, что скачано и готово к установке обновление Android.
Примечательно то, что аппарат произведен в мае этого года (то есть ему не больше 2 месяцев с момента производства). Не думаю, что он так настойчиво требовал обновиться ради самой свежей версии Android.
Кстати, какая версия Android стояла в нем «с полки магазина», проверить, увы, не успел. Сейчас стоит 4.2.2. Что там установилось в этом «экстренном обновлении» — остается только догадываться.
На моем смартфоне от Sony Ericsson стоит версия Android еще 2.3.4. При проверке обновлений кричит, что у меня самая свежая версия Android и самое свежее ПО от производителя.
Примечательно то, что аппарат произведен в мае этого года (то есть ему не больше 2 месяцев с момента производства). Не думаю, что он так настойчиво требовал обновиться ради самой свежей версии Android.
Кстати, какая версия Android стояла в нем «с полки магазина», проверить, увы, не успел. Сейчас стоит 4.2.2. Что там установилось в этом «экстренном обновлении» — остается только догадываться.
На моем смартфоне от Sony Ericsson стоит версия Android еще 2.3.4. При проверке обновлений кричит, что у меня самая свежая версия Android и самое свежее ПО от производителя.
Мимо, апдейт 4.2.2 на nexus 7 еще давно прилетал, так что никакой это не экстренный фикс.
Ваше невежество навлечет на вас настоящее цунами из минусов.
Объясните в двух словах. К кому я проявил невежество и как именно?
Я лишь аккуратно высказал предположение. За что заминусовали, хоть скажите! Тем более как упомянули немного выше, апдейт 4.2.2 на nexus 7 прилетел давно, а аппарату всего 2 месяца от роду. Не может же быть, что на «конвейере» на него влепили старую ОС? Или может?
Я лишь аккуратно высказал предположение. За что заминусовали, хоть скажите! Тем более как упомянули немного выше, апдейт 4.2.2 на nexus 7 прилетел давно, а аппарату всего 2 месяца от роду. Не может же быть, что на «конвейере» на него влепили старую ОС? Или может?
Никаких фиксов не было. Предложениям обновиться на Android 4.2.2 уже не первый месяц.
Скоро будет новая версия Android, вот туда смотреть и надо, а не в версии 2.3.4.
Круто, красивые картинки, скриншот с информацией о системе, ссылка на какой-то мутный баг, утверждение о том, что можно подменить ЭЦП файла. О да, мы должны в это поверить :)
Там не говорится о том, что можно подменить ЭЦП, в сообщении говорится о том, возможно обойти механизм проверки и валидации. И я склонен доверять этой новости, а если вы не верите, то подождите конференции, они пообещали опубликовать все подробности в своем блоге после неё (хотя вполне возможно, что Google может попросить их этого не делать).
Самое что меня смущает — отсутствие бага в багтрекере андроида.
Такой критический баг с описанием в багтрекере привел бы к тому, что очень много пользователей Android стали бы под угрозой. Поэтому я считаю, что баг есть, но он только во внутреннем багтрекере (если вы разработчик Android, то должны знать, что есть AOSP и внутренняя ветка в Google, где они разрабатывают свою систему. Более того, у них есть внутренний багтрекер). Более того, именно поэтому код для исправления бага и не появляется в AOSP, потому что не все производители смогут быстро сделать обновления для их продуктов. Поэтому я предполагаю, что этого доклада на конференции не будет, потому что он затрагивает интересы очень многих пользователей и корпораций. Bluebox хотела славы — она её получила, особенно, если Google официально попросит не представлять этот доклад.
Хотя, как уже отмечали здесь, информации, которую раскрыла Bluebox, достаточно, чтобы начать поиск этой уязвимости, и мне кажется, что в ближайшее время мы услышим (или увидим) подтверждение тому. Сам вчера целый день копался в исходниках и у меня есть догадка, где зарыта собака.
Хотя, как уже отмечали здесь, информации, которую раскрыла Bluebox, достаточно, чтобы начать поиск этой уязвимости, и мне кажется, что в ближайшее время мы услышим (или увидим) подтверждение тому. Сам вчера целый день копался в исходниках и у меня есть догадка, где зарыта собака.
Желтизна статьи просто зашкаливает.
Google уведомлена в феврале, но до сих пор не пропатчила свои же Nexus?! Что-то здесь не так.
Номер бага не гуглится, так что что-то здесь не так.
Вот это другое дело!
то есть (вспоминая блог)
The vulnerability involves discrepancies in how Android applications are cryptographically verified & installedфишка в том, что подписи проверяются для первого найденного файла в архиве, но при инсталляции распаковываются все, и выживает последний?
Ага, почти так. Проверяется второй файл, а выживает первый.
googlesystem.blogspot.ru/2013/07/the-8219321-android-bug.html — The Android Bug 8219321 July 10, 2013:
googlesystem.blogspot.ru/2013/07/the-8219321-android-bug.html — The Android Bug 8219321 July 10, 2013:
Actually, the bug is simple: APK files are ZIP archives and Android allows APK files to include files with the same name.
«The entry which is verified for signature is the second one inside the APK, and the entry which ends up being installed is the first one inside the APK — the injected one that can contain the malicious payload and is not checked for signature at all.»
И за что мне минусов влепили, непонятно…
Если из всей воды втянуть суть, то получается, что рискуют те, кто ставит APK откуда попало, но они и так были в группе риска.
Еще один аргумент в пользу официального маркета Google Play.
Несмотря на все фейлы, конечному пользователю там всегда безопаснее, чем на стороне.
Несмотря на все фейлы, конечному пользователю там всегда безопаснее, чем на стороне.
Причем подмены абсолютно никто не заметит. Ни Play Market, ни телефон, ни пользователь.
Используя Google Play, чтобы распространить приложение, которые было изменено, — не получится. Потому что Google обновил процесс записи приложения в Маркет, дабы блокировать приложения, которые содержат эту проблему.
Противоречие в статье.
Но, к сожалению, Google Play еще далеко до системы фильтрации и проверки приложений как у App Store.
Но, к сожалению, Google Play еще далеко до системы фильтрации и проверки приложений как у App Store.
Ссылка на блог компании
bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
«Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад.»
Не позже — это раньше 4 лет назад. То есть, это телефоны с версией
Не позже — это раньше 4 лет назад. То есть, это телефоны с версией
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в Android позволяет злоумышленникам превратить любое приложение в троян