forum.opennet.ru

"Уязвимость, позволяющая внести изменения Android-пакеты без..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

"Уязвимость, позволяющая внести изменения Android-пакеты без..."	+/–
Сообщение от opennews (??), 04-Июл-13, 10:28
Исследовательская лаборатория Bluebox Labs сообщила (http://bluebox.com/corporate-blog/bluebox-uncovers-android-m.../) о намерении раскрыть на конференции Black Hat, которая состоится 27 июля, детали необычной уязвимости в платформе Android, позволяющей формировать цифровые подписи верифицируемые первичным ключом платформы. По заявлению исследователей уязвимости подвержены 99% всех устройств на базе платформы Android. С практической стороны, уязвимость позволяет внести изменения в APK-пакеты программ, без нарушения проверочной цифровой подписи, которая остаётся корректной и не сигнализирует об изменении начинки пакета (например, можно подставить в пакет троянскую вставку, но пакет не вызовет подозрений и будет выглядеть как созданный авторами приложения). Компания Google была информирована о выявленной проблемы в феврале. Проблема проявляется во всех ветках платформы, начиная с Android 1.6. В качестве наиболее опасного применения уязвимости называется возможность распространения фиктивных обновлений от имени производителя устройства, которые могут предоставить злоумышленнику полный контроль над аппаратом. <center><a href="http://bluebox.com/wp-content/uploads/2013/06/exploit.png&qu... src="https://www.opennet.ru/opennews/pics_base/0_1372918512.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center> URL: http://bluebox.com/corporate-blog/bluebox-uncovers-android-m.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=37355
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость, позволяющая внести изменения Android-пакеты без..., opennews, 04-Июл-13, 10:28 [смотреть все]

И не такое бывало , Сергей, 04-Июл-13, 10:33 (2) //
- О великий и могучий Админ Сделай на Опеннет возможность написания комментариев , pavlinux, 05-Июл-13, 01:37 (125) //
  - 1 предъяви аттестат большего не прошу 2 это уже будет не опеннет, Аноним, 05-Июл-13, 11:47 (131)
звонилка за 1000р спасет от любых узвимостей , Аноним, 04-Июл-13, 10:50 (3) //
- на firefox os, username, 04-Июл-13, 12:23 (16) //
  - gonk в ffos основан на андроиде , 1, 04-Июл-13, 13:31 (25) //
    - Тролль Если ОС на линукс, то не факт, что на андроиде Она использует кое какие, Аноним, 04-Июл-13, 14:51 (40)
- зато хрен обновишь прошивку в этой звонилке если и есть возможность, то никто , Гость, 04-Июл-13, 13:19 (22) //
  - кстати, вопрос о прошивке возник из-за обычно её полной глюклявости Т к сейчас, Гость, 04-Июл-13, 13:21 (23)
  - Плюс таких звонилок - отсутствие какого-либо обновления прошивки Вот ни разу ни, qwerty, 04-Июл-13, 13:38 (27) //
    - мало пользовался А может и правда, есть таки в природе такой чудо-производител, Гость, 04-Июл-13, 13:42 (29)
    - fly толковые в общем-то звонилы становятся толковыми после 1-2 обновлений проши, Клыкастый, 04-Июл-13, 15:15 (48)
    - Конечно - такую мерзость из кармана противно доставать лишний раз При этом разу, Аноним, 04-Июл-13, 18:37 (92)
      - То ли дело гейфон - достал, и к ЧСВ добавилось еще 10 , Аноним, 05-Июл-13, 11:12 (130)
  - Болтун Сначала матчасть подучи На полную мощь вне зависимости в GSM не работа, ACCA, 05-Июл-13, 20:28 (136) //
    - Да, тормознул Вчера проверил, действительно, не в мощности дело, Гость, 10-Июл-13, 08:31 (142)
- А также от любого функционала , burjui, 09-Июл-13, 22:25 (140)
А что звонилка Мозгов уже не хватает на андроиде интернет отключить и воздержат, Аноним, 04-Июл-13, 10:57 (4) //
- Точно На Андроиде надо отключать интернет , Аноним, 04-Июл-13, 11:17 (7) //
  - С учетом того какой на ведроиде софт - это наверное единственный разумный вариан, Аноним, 04-Июл-13, 15:27 (54) //
    - достаточно выкинуть гугломаркет и пользоваться открытым софтом - он для андроида, Crazy Alex, 04-Июл-13, 17:09 (74)
      - Угу, есть Только вот чего-то уровня x-chat элементарного - не найдешь ни открыт, Аноним, 04-Июл-13, 18:39 (94)
        
        Yaaic не подойдёт , anonymous, 04-Июл-13, 19:24 (107)
        User, а есть какие-либо репозитории для N9 Неофициальные, так как на Nokia, в е, andy, 04-Июл-13, 23:01 (122)
      - Его сборки неизвесными челами в рамках проекта fdroid вызывают не больше доверия, Аноним, 05-Июл-13, 00:43 (123)
- антивирус головного мозга, Аноним, 04-Июл-13, 11:35 (9)
- То есть, купить смартфон и превратить его в звонилку за 1000 р , YetAnotherOnanym, 04-Июл-13, 12:03 (14) //
  - Звонилка с интернетом автоматически превращается в смартфон , Михаил, 04-Июл-13, 14:08 (34) //
    - Нет, но смартфон без Интернета автоматически превращается в звонилку , Аноним, 04-Июл-13, 17:22 (78)
      - Молодежь подросла Раньше смартфоны они же КПК и звонить не могли, потом нау, Аноним, 05-Июл-13, 00:47 (124)
        
        Молодежь подросла Раньше вообще не было Интернетов в этих ваших мобильниках , Аноним, 05-Июл-13, 09:53 (127)
        
        Молодежь подросла Раньше вообще не было мобильников, зато были нофелеты Ну и та, Аноним, 05-Июл-13, 09:54 (128)
- Антивирус Это что такое , Аноним, 04-Июл-13, 12:43 (17) //
  - ехидно Сифилис можно поймать даже не видя никогда в жизни живую бабу, не повер, Аноним, 04-Июл-13, 14:31 (36) //
    - с сарказмом давайте не будем о педерастах , Клыкастый, 04-Июл-13, 15:17 (49)
      - педерасты годны только для того, чтобы над ними глумиться, Сергей, 04-Июл-13, 16:22 (64)
        
        БДСМ шик , тень_pavel_simple, 04-Июл-13, 19:47 (109)
Гм, интересно, как это Ждём с нетерпением , vitalif, 04-Июл-13, 10:59 (5) //
- Делается так в пакет добавляется нужный троян, а чтобы подпись била, дополнител, robux, 04-Июл-13, 12:21 (15) //
  - бьющие по лицу подписи это facepalm , pro100master, 04-Июл-13, 14:58 (45) //
    - петросян, ты щас здесь что ли выступаешь , robux, 04-Июл-13, 17:39 (84)
  - Блок подбирать будешь лет сто Судя по сообщении ты понятия не имеешь о том, как, nyt, 04-Июл-13, 15:01 (46) //
    - md5 нонче подбирают за несколько часов , linux must __RIP__, 04-Июл-13, 15:38 (56)
      - Угу, пару часов, когда подбираешь пароль, да и то при наличии rainbow-таблиц а , onibi, 04-Июл-13, 17:26 (81)
      - Да ну Расскажите нам подробнее про коллизии И про радужные таблицы И напишите, nyt, 04-Июл-13, 17:47 (87)
      - Подберешь мне парочку Хинт подбираются только относительно короткие известны, Аноним, 04-Июл-13, 18:41 (95)
      - Это не md5 подбирается, а пароли и не за пару часов, а когда как А чистый md5 , iWLCkhBrBeDTGA, 04-Июл-13, 20:19 (114)
      - Ты или не знаешь о чём говоришь, или знаешь что-то такое, чего не знают почти вс, Аноним, 05-Июл-13, 01:43 (126)
    - Владельцы какого-нибудь стороннего маркета практически любой китайский андроидф, xapienz, 04-Июл-13, 19:14 (103)
      - Да, такое возможно, если этот троян можно встроить именно в apk Описание бреши , nyt, 04-Июл-13, 19:25 (108)
Ну, чувствую что сейчас куча битсквоттеров побежит регать доменные имена и внедр, Аноним, 04-Июл-13, 11:15 (6) //
- Лох он и так проигнорирует все предупреждения, лишь бы взломщик опсосов заработа, commiethebeastie, 04-Июл-13, 11:23 (8) //
  - При наличии правильной подписи предупреждений не будет Что особенно забавно , Аноним, 04-Июл-13, 18:41 (96)
- Я как-то не уверен, что это сработает Сам битсквоттинг под сильным вопросом нах, qwerty, 04-Июл-13, 13:57 (33)
- Сначала прочитал NP P , iWLCkhBrBeDTGA, 04-Июл-13, 20:21 (115)
- Это че такое Размер в сантиметрах Нашел, чем гордиться , Аноним, 04-Июл-13, 20:35 (117)
Ну нифига себе, они с февраля еще чухаются Может они для себя эту дырочку оста, Аноним, 04-Июл-13, 11:43 (10)
ну почему обязательно злоумышленнику, почти универсальный способ рута же , Sylvia, 04-Июл-13, 11:46 (11) //
- Кстати да, если есть что-то еще не рутованное - явный шанс это исправить , Crazy Alex, 04-Июл-13, 17:18 (77)
Вот она - идиотская модель в действии Когда уже люди поймут - недоверенный код , Crazy Alex, 04-Июл-13, 11:57 (12) //
- Они этому коду доверяют , Sergey722, 04-Июл-13, 12:59 (19) //
  - Все просто, д е б и л ы Нет такой концепции в безопасности как вера или дове, Аноним, 04-Июл-13, 14:37 (38) //
    - Открытое ПО лучше тем, что я, как программист, могу его допилить, если мне нужно, Сергей, 04-Июл-13, 16:34 (65)
    - Если вы код не смотрите - это не значит, что все такие, Crazy Alex, 04-Июл-13, 17:11 (75)
      - Смотреть мало, нужно вникать , Сергей, 04-Июл-13, 17:38 (83)
    - Какой сочный батхерт у проприераса Прямо любо-дорого смотреть Заходите почаще,, Аноним, 04-Июл-13, 18:43 (97)
    - всегда приятно, когда у подстилок типа тебя истерики , arisu, 04-Июл-13, 19:18 (104)
- Что нельзя запускать недоверенный код - понятно, но все-таки что за цифровая под, Lexa3110, 04-Июл-13, 13:00 (20) //
  - Баг как баг Всякие они бывают Вон, на PS3 вообще секретный ключ восстановить у, Crazy Alex, 04-Июл-13, 14:35 (37)
Нашли бэкдор - спецслужбы развели руками - нухренсвамиразнашли, только говорите , Аноним, 04-Июл-13, 12:00 (13)
Если я правильно понял, становится возможной MITM атака Ну тогда если обновлять, Аноним, 04-Июл-13, 12:47 (18) //
- Да, ладно MITM, даёшь apk вирусы Касперский добряет , Andrey Mitrofanov, 04-Июл-13, 13:14 (21)
- А как, собственно, ты проверил что никто не исказил траффик по пути В случае по, Аноним, 04-Июл-13, 18:45 (98) //
  - Кто его по маршруту телефон-мой Wi-Fi-провайдер-интернет-сервер мог исказить Ну, Аноним, 04-Июл-13, 19:53 (110) //
    - DNS-спуфинг и левый сервер на любом участке, например , iWLCkhBrBeDTGA, 04-Июл-13, 20:24 (116)
      - Параноики Это - безопасный путь, для того, чтобы что-то подменить на этом учас, Аноним, 04-Июл-13, 20:47 (118)
        
        А теперь представим, что Вася работает в компании провайдера и ему нечем занятьс, iWLCkhBrBeDTGA, 05-Июл-13, 22:17 (137)
    - всегда проверяешь BSSID, подключаясь к твоему Wi-Fi , Васёк, 04-Июл-13, 20:54 (119)
      - У меня нет Wi-Fi, начнём с этого Но если бы был, я думаю телефон запомнил бы ег, Аноним, 04-Июл-13, 21:16 (121)
      - Так у левой сети будут совпадать с настоящей как BSSID, так и ESSID , iWLCkhBrBeDTGA, 09-Июл-13, 23:47 (141)
В любой программе из трёх строк уже есть ошибка, Аноним, 04-Июл-13, 13:28 (24) //
- echo one echo two echo three Ищите ошибки - , qwerty, 04-Июл-13, 13:36 (26) //
  - Нашел В третьей строке нет точки с запятой в конце , anonymous, 04-Июл-13, 13:40 (28) //
    - Если это последняя строка, то не нужно А у нас ведь программа из трёх строк , qwerty, 04-Июл-13, 13:54 (31)
      - И на чем написана эта программа , anonymous, 04-Июл-13, 15:13 (47)
        
        с удивлением на опеннете же , Клыкастый, 04-Июл-13, 15:20 (51)
        
        Глазастый, нашёл главную ошибку , Andrey Mitrofanov, 04-Июл-13, 15:24 (52)
        
        bash а если быть точнее - просто sh, без расширений bash , Аноним, 04-Июл-13, 15:51 (57)
        
        Тогда - шебанга нет Ошибка , Аноним, 04-Июл-13, 17:42 (86)
        
        Это не часть программы, а лишь указание, чем исполнять Работает и без неё , Аноним, 04-Июл-13, 18:27 (89)
      - И да, они в принципе вообще не нужны, сейчас свои старые скрипты глянул Нужны т, Аноним, 04-Июл-13, 15:59 (59)
  - программа неработает после её запуска у меня дискета в дисководе не отформати, аТфьу, 04-Июл-13, 15:20 (50) //
    - Держитеecho one fdformat dev fd0 echo two , Аноним, 04-Июл-13, 15:58 (58)
      - бракоделы ни на си, ни на php ни в досе неработает и даже чижик-пыжи, аТфьу, 04-Июл-13, 16:41 (66)
        
        Виндузятник, так бы сразу и написали На Sh оно, если в винде его нет - проблемы, Аноним, 04-Июл-13, 16:50 (67)
        
        в отличии от некоторых знаю, что fdformat - внешняя программа, а не команда sh , аТфьу, 04-Июл-13, 17:02 (72)
        
        Если вам нечем его запустить, зачем упоминать о том, что оно использует вызовы к, Аноним, 04-Июл-13, 17:07 (73)
        Ну-ка, ну-ка Какие такие команды sh , Аноним, 04-Июл-13, 17:26 (82)
        
        http www opennet ru docs RUS bash_scripting_guide c5358 html просвещайся, Аноним, 04-Июл-13, 18:39 (93)
      - Ты забыл написать, что нужен дисковод и дискета в нем , Аноним, 04-Июл-13, 17:25 (80)
  - Сначала расскажи, что ДОЛЖНА делать эта программа , Сергей, 04-Июл-13, 16:52 (71)
  - Это не программа, а скрипт Он наследует все ошибки программы-интерпретатора , Аноним, 04-Июл-13, 17:24 (79) //
    - Ога, а программа на C наследует ошибки компилятора А программы на ассемблере на, Аноним, 04-Июл-13, 18:28 (90)
      - Ты не поверишь , Аноним, 04-Июл-13, 19:07 (102)
        
        Так и не отрицаем же Просто с таким перфекционистским подходом можно дойти до в, Аноним, 04-Июл-13, 19:56 (111)
Потому что не Java , iZEN, 04-Июл-13, 13:49 (30) //
- Потому что iZEN , qwerty, 04-Июл-13, 13:54 (32) //
  - Ага DХоть сцы в глаза 8230 Да, что-то в жабе давно дырок не находили Аж нед, ананим, 04-Июл-13, 14:10 (35) //
    - все бэкдоре в прошлую версию джавы были в тихую добавленыоракл анб, Аноним, 04-Июл-13, 21:00 (120)
- Действительно - была бы Java - затыкали бы по 30 критичных дыр в месяц А так, Аноним, 04-Июл-13, 15:29 (55)
вот вам и первый бэкдор в любимом вами Линуксе , linux must __RIP__, 04-Июл-13, 14:41 (39) //
- Где ты там линукс нашёл , Аноним, 04-Июл-13, 14:52 (41)
- Дыра в apk пакетах И это плохо Благо у меня нокия на кирпичОС , обычный аноним, 04-Июл-13, 14:54 (42) //
  - Если это про WP8 - это вообще одна большая дыра, ибо ничего не может без MS и их, Аноним, 04-Июл-13, 18:50 (99)
- Как хочется с таким то ником выдать желаемое за действительное,ага , NickFaces, 04-Июл-13, 14:58 (44) //
  - Свербит жеж Зонд видимо без вазелина был вставлен , ананим, 04-Июл-13, 16:14 (62)
- Прям в ядре Или может в окружении GNU Linux , Аноним, 04-Июл-13, 16:06 (60) //
  - с какого испугу ведроид стал GNU Linux , arisu, 04-Июл-13, 19:23 (106) //
    - Так он и не становился Комментарий понят маленько наоборот , Аноним, 04-Июл-13, 19:58 (112)
- Любимый нами линукс вообще об APK ничего не знает Ибо кернель А это юзермод ве, Аноним, 04-Июл-13, 18:52 (100)
Я извиняюсь, а как они в гуглоплэй самсунго-магаз и тд и тп от имени производит, NickFaces, 04-Июл-13, 14:57 (43) //
- в hosts вашего d-link a напишутmarket google com 123 123 123 123 left_google, аТфьу, 04-Июл-13, 15:25 (53) //
  - Если вы используете недоверенную сеть без VPN или чего-нибудь в таком роде - сам, Аноним, 04-Июл-13, 16:10 (61) //
    - например http www s3cur1ty de m1adv2013-003 - и это один из примеров, а о скол, аТфьу, 04-Июл-13, 16:51 (68)
      - Закрыто извне может быть и вторым роутером, как часто и делают Пример - стоит з, Аноним, 04-Июл-13, 18:32 (91)
    - Кто угодно http habrahabr ru post 185546 , Аноним, 04-Июл-13, 16:51 (69)
  - Ну пусть пишут Там SSL используется Вряд ли он в андроиде сломан параллельно с, Crazy Alex, 04-Июл-13, 17:15 (76)
  - Ты что, hosts только на картинке видел Или такой дубовый что не понимаешь чем а, Аноним, 04-Июл-13, 18:54 (101)
  - А у меня нет длинка И вообще только интернет от оператора с редкими всплесками , NickFaces, 05-Июл-13, 19:18 (134) //
    - Конечно нет , iWLCkhBrBeDTGA, 05-Июл-13, 22:18 (138)
- Кто 171 они 187 ЦРУ АНБ , ананим, 04-Июл-13, 16:16 (63) //
  - доброжелатели , аТфьу, 04-Июл-13, 16:52 (70)
Всё-таки, хотелось бы получить подробности После этого можно было бы и поговори, Аноним, 05-Июл-13, 10:53 (129) //
- Скорее всего плохой дизайн плохая реализация источник проблем , iWLCkhBrBeDTGA, 05-Июл-13, 22:20 (139)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру