forum.opennet.ru

Составление сообщения

Исходное сообщение

"Все версии Android уязвимы к атаке PileUp"
Отправлено opennews, 24-Мрт-14 22:06

Исследователи из университета Indiana University и Microsoft опубликовали статью (http://www.informatics.indiana.edu/xw7/papers/privilegescala...) (PDF), в которой описали новый класс уязвимостей в платформе Android, который затрагивает все её версии, включая полностью открытую версию Android - Android Open Source Project. Уязвимыми на данный момент являются все аппараты, работающие под управлением Android.

Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется. Злоумышленник может подготовить приложение запрашивающее доступ к привилегированным операциям, появившимся в свежей версии платформы. При установке такого приложения на старых версиях Android данные неизвестные привилегии будут проигнорированы.
При обновлении операционной системы до более новой версии сервис Package Management Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все присутствующие в нём разрешения, даже на те, которые не поддерживались в старых выпусках ОС. Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.

Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС, или получают только обновления, которые не увеличивают основную ревизию, например, с 4.2 до 4.2.2.
URL: http://www.informatics.indiana.edu/xw7/papers/privilegescala...
Новость: https://www.opennet.ru/opennews/art.shtml?num=39391

Исходное сообщение
"Все версии Android уязвимы к атаке PileUp" Отправлено opennews, 24-Мрт-14 22:06
Исследователи из университета Indiana University и Microsoft опубликовали статью (http://www.informatics.indiana.edu/xw7/papers/privilegescala...) (PDF), в которой описали новый класс уязвимостей в платформе Android, который затрагивает все её версии, включая полностью открытую версию Android - Android Open Source Project. Уязвимыми на данный момент являются все аппараты, работающие под управлением Android. Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется. Злоумышленник может подготовить приложение запрашивающее доступ к привилегированным операциям, появившимся в свежей версии платформы. При установке такого приложения на старых версиях Android данные неизвестные привилегии будут проигнорированы. При обновлении операционной системы до более новой версии сервис Package Management Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все присутствующие в нём разрешения, даже на те, которые не поддерживались в старых выпусках ОС. Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные. Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС, или получают только обновления, которые не увеличивают основную ревизию, например, с 4.2 до 4.2.2. URL: http://www.informatics.indiana.edu/xw7/papers/privilegescala... Новость: https://www.opennet.ru/opennews/art.shtml?num=39391

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи из университета Indiana University и Microsoft опубликовали статью (http://www.informatics.indiana.edu/xw7/papers/privilegescalationthroughandroidupdating.pdf) 
> (PDF), в которой описали новый класс уязвимостей в платформе Android, который 
> затрагивает все её версии, включая полностью открытую версию Android - Android 
> Open Source Project. Уязвимыми на данный момент являются все аппараты, работающие 
> под управлением Android.

> Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор 
> разрешений для приложений, и в новых версиях ОС этот набор расширяется. 
> Злоумышленник может подготовить приложение запрашивающее доступ к привилегированным 
> операциям, появившимся в свежей версии платформы. При установке такого приложения на 
> старых версиях Android данные неизвестные привилегии будут проигнорированы.
> При обновлении  операционной системы до более новой версии сервис Package Management 
> Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, 
> которые есть в приложении, ибо он считает, что раз приложение уже 
> установлено, то пользователь уже согласился на все присутствующие в нём разрешения, 
> даже на те, которые не поддерживались в старых выпусках ОС. Таким 
> образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее 
> полномочия, включая системные.

> Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное 
> приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС 
> с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько 
> серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов 
> вообще никогда не получают обновление ОС, или получают только обновления, которые 
> не увеличивают основную ревизию, например, с 4.2 до 4.2.2.

> URL: http://www.informatics.indiana.edu/xw7/papers/privilegescalationthroughandroidupdating.pdf 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=39391

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру