| |
Исследователи из Индианского университета и компании Microsoft опубликовали статью (PDF), в которой описали новый класс уязвимостей в Package Management Service на платформе Android. Уязвимыми на данный момент являются все аппараты, работающие под управлением Android, для которых есть обновление на следующую главную версию, еще не установленное пользователем.
Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется. Злоумышленник может подготовить приложение, запрашивающее доступ к привилегированным операциям, появившимся в свежей версии платформы. При установке такого приложения на старых версиях Android данные неизвестные привилегии будут проигнорированы.
При обновлении операционной системы до более новой версии сервис Package Management Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все присутствующие в нём разрешения, даже на те, которые не поддерживались в старых выпусках ОС. Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.
Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС, или получают только обновления, которые не увеличивают основную ревизию, например, с 4.2 до 4.2.2.
Дополнительно можно отметить выявление опасной DoS-уязвимости в Android 2.3, 4.2.2, 4.3 и возможно других выпусках. Установка подготовленного злоумышленниками пакета APK может привести к неустраняемым зацикленным перезагрузкам, т.е. приводит к неработоспособности устройства до выполнения перепрошивки. Суть метода в заполнении поля "appname" в метаданных к пакету слишком большим значением, превышающим 387000 символов. Интересно, что выявивший уязвимость исследователь попытался протестировать возможность загрузки вызывающего уязвимость APK-пакета в Google Play, что привело к нарушению работы сервиса в процессе проверки корректности пакета и невозможности другим пользователям во время проверки загрузить приложения в Google Play. |
|
- Главная ссылка к новости (http://www.informatics.indiana.edu/xw7/p...)
| Автор новости: Artem S. Tashkinov | Тип: Проблемы безопасности | Ключевые слова: security, google, android, vulnerability, (найти похожие документы) | При перепечатке указание ссылки на opennet.ru обязательно | Реклама |
id=adv>
| |
2.85, my, 12:14, 25/03/2014 [^] [ответить] [смотреть все] [показать ветку] | +1 +/– | | | | 2.93, Аноним, 13:20, 25/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +3 +/–
1.2, anonimov, 22:15, 24/03/2014 [ответить] [смотреть все] –1 +/–
SElinux не поможет?
1.3, Аноним, 22:24, 24/03/2014 [ответить] [смотреть все] –8 +/–То что Android дырка это и без подобной новости очевидно то есть и без участия M... весь текст скрыт [ показать]
4.76, Кирилл, 11:27, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–Прям таки основа основ Чушь не пишите ... весь текст скрыт [ показать] 6.133, Кирилл, 14:54, 27/03/2014 [ ^] [ ответить] [ смотреть все] +/–
А Линукс то тут причём? Андроид это всё же только Ява-машина.
4.84, Андрей, 12:12, 25/03/2014 [ ^] [ ответить] [ смотреть все] –2 +/–Кстати да На днях нужно было поставить на Acer Андроидный некое приложение ... весь текст скрыт [ показать] 5.88, тоже Аноним, 12:31, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–Вообще-то галочка установка из недоверенных источников позволяет установить лю... весь текст скрыт [ показать] 5.100, Crazy Alex, 15:19, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–Пользуйтесь правильными репозиториями - https f-droid org - открытый и свобод... весь текст скрыт [ показать] 6.116, AlexYeCu_not_logged, 17:28, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–F-Droid сложно назвать правильным репозиторием -- версии софта зачастую более ... весь текст скрыт [ показать] 6.132, Аноним, 11:44, 27/03/2014 [ ^] [ ответить] [ смотреть все] +/–Этой левой парашей могут пользоваться только совсем отмороженные пердолики ... весь текст скрыт [ показать] 5.130, NikolayV81, 09:51, 26/03/2014 [ ^] [ ответить] [ смотреть все] +/–
В общем банально, что-бы рекламу показывать, а в платных версиях могут просто забыть отключить разрешение.
4.118, unscrubber, 17:38, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–в 4 3 есть - т н режим инкогнито но гуглы вероятно почемуто испугались за рас... весь текст скрыт [ показать] 2.67, freehck, 09:27, 25/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Господа, а за что этого Анонима заминусовали Неужели есть люди, верящие в безоп... весь текст скрыт [ показать] [ показать ветку]
4.101, Crazy Alex, 15:22, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–Не без того, но когда речь идёт не о Googl Play, а о тот же самом f-droid - 90 ... весь текст скрыт [ показать]
1.5, Black Paladin, 22:41, 24/03/2014 [ответить] [смотреть все] +7 +/–
А мне больше всего понравилось про DoS самого Google Play. То есть они там все "не думали, что так может быть". Что при создании представителя класса конструктор этого класса вообще не обязан ничего проверять. Какое переполнение буфера? Не, не слышали. Мне кажется, это удел первокурсников.
2.33, strah4, 01:02, 25/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–Может они просто заранее смотрят желающих и пожизненно блочат Лучше на этом эта... весь текст скрыт [ показать] [ показать ветку] |
3.127, Anonym2, 20:50, 25/03/2014 [^] [ответить] [смотреть все] | +1 +/– |
> Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом
> этапе, чем он дальше полезет. Гугл знающий все обо всех вполне
> может реализовать пожизненный бан.
:-)) И не один. Вопрос только как бы эти пожизненные баны отметить какими-нибудь знаками отличия (которые могли бы рассылаться Гуглом), так чтоб красиво было. Вот идёт, скажем, интернетчик по улице, и по знакам отличия сразу видно - шестикратно пожизненно забанен Гуглом в Интернете >:-)
| | |
|
4.131, NikolayV81, 09:53, 26/03/2014 [^] [ответить] [смотреть все] | +/– |
>> Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом
>> этапе, чем он дальше полезет. Гугл знающий все обо всех вполне
>> может реализовать пожизненный бан.
> :-)) И не один. Вопрос только как бы эти пожизненные баны отметить
> какими-нибудь знаками отличия (которые могли бы рассылаться Гуглом), так чтоб красиво
> было. Вот идёт, скажем, интернетчик по улице, и по знакам отличия
> сразу видно - шестикратно пожизненно забанен Гуглом в Интернете >:-)
Автоматически при попадании в объектив камеры.
| | |
1.6, Аноним, 22:45, 24/03/2014 [ответить] [смотреть все] +/–А рутилка без перепрошивки будет на основе этой уязвимости ... весь текст скрыт [ показать]
1.7, an, 22:54, 24/03/2014 [ответить] [смотреть все] +2 +/–
я наверное не те устройства использую(в основном китайские)....
но накатить обновление версии без переустановки приложений както вообще никогда не получалось :).
Те ИМХО найдена сааамая маленькая дырка в андройде.
От майкрософта и правда можно было ожидать чегото покрупнее.
4.72, Ivan, 10:34, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–Китайская шарага, которая гонит ширпотреб и покупает бренды для того, чтобы их и... весь текст скрыт [ показать] 3.107, vitalif, 15:52, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/– и рут отваливается, и selinux ы прилетают Нафиг такое счастье, лучше уж забэк... весь текст скрыт [ показать] 2.56, Аноним, 06:39, 25/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/– 2.124, XoRe, 18:57, 25/03/2014 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
> я наверное не те устройства использую(в основном китайские)....
> но накатить обновление версии без переустановки приложений както вообще никогда не получалось
У некоторых моделей телефонов и планшетов есть возможность скачать прошивку через инет и обновиться с одной перезагрузкой и сохранением настроек.
Примерно, как у ubuntu, когда обновление без косяков.
Для этого сам вендор должен официально зарелизить прошивку.
Такое обновление называется OTA (over the air).
Насчет цианогена хз, может и в цианогене есть такое.
1.10, Baz, 23:04, 24/03/2014 [ответить] [смотреть все] +1 +/–
вот потому все нормальные люди после обновления системы делают сброс настроек.
1.11, Aceler, 23:11, 24/03/2014 [ответить] [смотреть все] +2 +/–
> Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.
Ложь. Системные полномочия регистрируются отдельно.
1.12, Аноним, 23:14, 24/03/2014 [ответить] [смотреть все] –2 +/–Ой какой же бред Любое приложение может натворить кучу всего нехорошего на ваше... весь текст скрыт [ показать]
1.13, Logo, 23:18, 24/03/2014 [ответить] [смотреть все] +3 +/–
Мокрыйсофт лучше бы занялась безопасностью своих форточек.
1.23, kurokaze, 23:52, 24/03/2014 [ответить] [смотреть все] –2 +/–
>Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется.
Бездоказательное утверждение
>Исследователи из Индианского университета и компании Microsoft
Ох лол, я понимаю почему они не ищут дыры в вантузе 8 (RT) -- БОЯТСЯ!
1.29, EuPhobos, 00:17, 25/03/2014 [ответить] [смотреть все] –2 +/–
Я один заметил взаимоисключающие параграфы?
> При обновлении операционной системы до более новой версии ... автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все ... исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ.
То есть как мы поняли, проблема при обновлении ОС.. ок.
> Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС ...
Эммм, (мелкософт != логика) ...
1.34, Michael Shigorin, 01:06, 25/03/2014 [ответить] [смотреть все] +/–
Жалко пытающимся потроллить в тредике студентам-партнёрам некрософта (причём явно не индианским): даже не пытайтесь, бездари.
PS: менять ники тоже без толку -- что лох-матка, что клоун-с**к*нчик, что даже Аноним -- без разницы. Бьют по морде, а не по поясу.
1.46, imprtat, 03:11, 25/03/2014 [ответить] [смотреть все] +/–
>> Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение
Нет уже, спасибо.
Новые пермишенны могут появится только в новых API level, за все время существования Android их 19.
1) Сколько придется ждать обновления?
2) Какой процент железок получает поддержку выхода обновлений от разработчика в течении 2ух и более API level?
1.51, Аноним, 06:29, 25/03/2014 [ответить] [смотреть все] +1 +/–Из статьи понял только, что их фамилии ... весь текст скрыт [ показать]
1.65, Аноним, 08:21, 25/03/2014 [ответить] [смотреть все] –1 +/–Что-то я не понял Чем отличается с точки зрения хомячка обновление системы без ... весь текст скрыт [ показать]
1.66, VoDA, 09:13, 25/03/2014 [ответить] [смотреть все] +/–
Из пальца высосали уязвимость.
Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.
3.125, Anonym2, 20:10, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–
>> Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.
> Суть уязвимости в том, что если запрошенные привилегии не поддерживаются текущей версией
> Android, то вы их не увидите и согласитесь не глядя. После
> обновления Android эти не замеченные привилегии будут включены, хотя вы
> явно с ними не соглашались.
Вообще-то кажется если запрашивается неизвестное разрешение, то следует предупреждение о нём.
А вообще после обновления много интересного может появиться ... :-)
1.73, meequz, 11:11, 25/03/2014 [ответить] [смотреть все] +/–
То есть когда вася нашёл уязвимость, опубликовал инфу и её исправили это ок. А когда микрософт сделал то же самое то не ок. Что-то я не понимаю такой логики. Сила опенсорса же в том, что _все_ могут проверять код, даже микрософт. Скажем ему спасибо. Пусть и дальше контрибьютит в ядро и ищет дырки. Нам же лучше.
|
|
Часть нити удалена модератором |
8.129, тоже Аноним, 00:04, 26/03/2014 [ответить] [смотреть все] | +1 +/– |
Как будто любой, сколь угодно черный, пиар способен ухудшить репутацию IE! О его родовых травмах только что не на каждом заборе написано.
| | |
|
1.77, Кирилл, 11:30, 25/03/2014 [ответить] [смотреть все] –1 +/–
Э, по-моему, брехня. Никаких существенных прав пакет не имеет, к тому же, чаще всего прежний пакет предварительно удаляется, а новый ставится вместо него, поэтому разрешения нужно выставлять снова.
Но это не беда -- абсолютное большинство пользователей тыкают Ок на любое предложение на экране.
3.82, Кирилл, 11:59, 25/03/2014 [ ^] [ ответить] [ смотреть все] +/–Откуда деньги списывать Вот прям в телефоне деньги лежат и их оттуда можно ... весь текст скрыт [ показать] |
5.134, Кирилл, 14:57, 27/03/2014 [^] [ответить] [смотреть все] | +/– |
>> Откуда деньги списывать?
> Со счёта в банке который привязан к карте, которая привязана к аккаунту,
> который может без дополнительного геморроя списывать деньги со счёта.
Это как вообще? Т.е. я сам в здравом уме разрешаю некоему приложению пользоваться своей картой? И причём тут чья-то система безопасности, коль я сам каким-то образом вбил данные своей карты в приложение, тем самым согласившись со схемой оказания услуги?
| | |
1.92, Аноним, 13:02, 25/03/2014 [ответить] [смотреть все] +1 +/–Давно заметил эту фишку, например, когда для firefox и google-chorom а потребова... весь текст скрыт [ показать]
1.96, iZEN, 13:49, 25/03/2014 [ответить] [смотреть все] +/–
Epic Fail.
1.108, Аноним, 16:52, 25/03/2014 [ответить] [смотреть все] +/–Всё, вот и великий google скатился до шайки быдлщкодеров ... весь текст скрыт [ показать]
|
3.135, Кирилл, 14:58, 27/03/2014 [^] [ответить] [смотреть все] | +/– |
> Так это же любимая Жаба - глюк, написанный один раз, работает везде
> - и на устройсвах, и на серверах. Особенно интересно, что это
> глюк переполнения буфера, который традиционно фигурирует в рассказах жабистов о проблемах
> Сей.
Очередной знаток.
| | |
1.115, КВ1С, 17:23, 25/03/2014 [ответить] [смотреть все] +/–
Микрософт опять чешет метлой. Все давно знают, что драная только винда :)
1.128, Аноним, 23:23, 25/03/2014 [ответить] [смотреть все] +/–Мля, такой вымлянский этот сайт и неполноценный вымлянок шигорин тут уселся на в... весь текст скрыт [ показать] Ваш комментарий
Read more |