+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Windows 7 (/windows-7-4-f)
+--- Dział: Newsy i aktualności o Windows 7 (/newsy-i-aktualnosci-o-windows-7-6-f)
+---- Dział: Aktualności i wydarzenia branży IT (/aktualnosci-i-wydarzenia-branzy-it-52-f)
+---- Wątek: Uważaj, instalując aplikacje na Androidzie, zwłaszcza od producenta Twego smartfona (/uwazaj-instalujac-aplikacje-na-androidzie-zwlaszcza-od-producenta-twego-smartfona-34369-t)
Uważaj, instalując aplikacje na Androidzie, zwłaszcza od producenta Twego smartfona - Portator - 07.07.2013 14:41
Absurd? W świetle ostatnich doniesień zespołu Bluebox Labs ta rada nabiera sensu.
![[Obrazek: shutterstock_126574586_1373138067.jpg]](http://di.com.pl/pic/photo/oryginal/shutterstock_126574586_1373138067.jpg)
Jak na firmowym blogu poinformował Jeff Forristal, dyrektor ds. technologii w Bluebox Security, problem dotyczy wszystkich urządzeń z Androidem, począwszy od wydanej cztery lata temu wersji 1.6 do najnowszej. Według ekspertów na atak może być podatnych nawet 900 mln smartfonów i tabletów.
Luka odkryta przez Bluebox Labs pozwala na modyfikację kodu APK bez naruszania kryptograficznej sygnatury. Przestępca może dzięki temu wstrzyknąć złośliwy kod do dowolnej „zdrowej” aplikacji i bezproblemowo umieścić ją w sklepie. Standardowe ostrzeżenie, by nie pobierać programów z niezaufanych źródeł, w tym przypadku może się więc nie sprawdzić.
Stopień zagrożenia zależy od uprawnień, jakimi będzie dysponować przekształcona aplikacja. Należy oczekiwać, że powstały w ten sposób trojan będzie mógł odczytać dowolne dane gromadzone na zaatakowanym urządzeniu (e-maile, SMS-y, dokumenty itd.), nikogo też nie powinna dziwić możliwość przechwytywania haseł i innych poufnych informacji.
Forristal podkreśla, że największe zagrożenie mogą stanowić zmodyfikowane aplikacje producentów telefonów (HTC,
Samsunga, Motoroli, LG i in.) oraz narzędzia typowo korporacyjne, oferowane np. przez Cisco, które korzystają ze specjalnych uprawnień systemowych. W ich przypadku możemy się spodziewać całkowitego przejęcia kontroli nad urządzeniem i dołączenia go do botnetu.
O istnieniu luki Google zostało poinformowane w lutym br. Przygotowanie stosownych poprawek leży jednak w gestii producentów sprzętu, a im zupełnie się nie opłaca aktualizowanie firmware'u w telefonach, na których i tak już nie zarobią. Forristal potwierdził dla serwisu Computerworld, że na razie gotowym patchem mogą się cieszyć tylko użytkownicy smartfona Samsung Galaxy S4.
Google wciąż jeszcze pracuje nad aktualizacją dla swoich urządzeń z rodziny Nexus. Kiedy i czy w ogóle pojawią się poprawki dla innych modeli smartfonów, nie wiadomo. Nieubłaganie zbliża się natomiast termin konferencji Black Hat USA 2013, na której Jeff Forristal zaprezentuje sposób wykorzystania luki.
Źródło: Bluebox Security, fot. Shutterstock
Luka odkryta przez Bluebox Labs pozwala na modyfikację kodu APK bez naruszania kryptograficznej sygnatury. Przestępca może dzięki temu wstrzyknąć złośliwy kod do dowolnej „zdrowej” aplikacji i bezproblemowo umieścić ją w sklepie. Standardowe ostrzeżenie, by nie pobierać programów z niezaufanych źródeł, w tym przypadku może się więc nie sprawdzić.
Stopień zagrożenia zależy od uprawnień, jakimi będzie dysponować przekształcona aplikacja. Należy oczekiwać, że powstały w ten sposób trojan będzie mógł odczytać dowolne dane gromadzone na zaatakowanym urządzeniu (e-maile, SMS-y, dokumenty itd.), nikogo też nie powinna dziwić możliwość przechwytywania haseł i innych poufnych informacji.
Forristal podkreśla, że największe zagrożenie mogą stanowić zmodyfikowane aplikacje producentów telefonów (HTC,
Samsunga, Motoroli, LG i in.) oraz narzędzia typowo korporacyjne, oferowane np. przez Cisco, które korzystają ze specjalnych uprawnień systemowych. W ich przypadku możemy się spodziewać całkowitego przejęcia kontroli nad urządzeniem i dołączenia go do botnetu.
O istnieniu luki Google zostało poinformowane w lutym br. Przygotowanie stosownych poprawek leży jednak w gestii producentów sprzętu, a im zupełnie się nie opłaca aktualizowanie firmware'u w telefonach, na których i tak już nie zarobią. Forristal potwierdził dla serwisu Computerworld, że na razie gotowym patchem mogą się cieszyć tylko użytkownicy smartfona Samsung Galaxy S4.
Google wciąż jeszcze pracuje nad aktualizacją dla swoich urządzeń z rodziny Nexus. Kiedy i czy w ogóle pojawią się poprawki dla innych modeli smartfonów, nie wiadomo. Nieubłaganie zbliża się natomiast termin konferencji Black Hat USA 2013, na której Jeff Forristal zaprezentuje sposób wykorzystania luki.
Źródło: Bluebox Security, fot. Shutterstock
RE: Uważaj... - izaw - 07.07.2013 22:12
Poprawki dla starszych niż aktualne nowości i topowe ukażą się... nigdy.
Producenci oleją błąd i klientów ciepłym moczem i zaproponują nabycie nowego "dobrego" smartfona.
P.S.
Nie dawaj takich długich tytułów, bo trzeba skracać przy odpowiedzi.