tisdag 6 augusti 2013

Allvarliga säkerhetsbrister i Android - Computer Sweden

Allvarliga säkerhetsbrister i Android - Computer Sweden

Nu demonstreras nya sätt att köra skadlig kod utan att den upptäcks på Android.
En inkräktare kan ta kontroll över alla funktioner i en Androidmobil.


Det är Jeff Forristal som är teknikchef på Bluebox Security som berättat om brister i Android på säkerhetskonferensen Black Hat i Las Vegas nyligen. Forristal gjorde sig ett namn för en månad sedan, när han beskrev en sårbarhet i Android som benämns ”master key”. Den innebar i korthet att skadlig kod kunde köras på 99 procent av alla Androidenheter, eller cirka 900 miljoner enheter.

Master key-sårbarheten gäller alla Androidversioner sedan 1.6, men många leverantörer är på väg att patcha den nu, skriver IDG News.

Men det tar inte slut där. Under ett föredrag på Black Hat berättar Jeff Forristal om flera sårbarheter som innebär att skadlig kod kan köras utan upptäckt, närmare bestämt utan att digitala signaturer för appar ändras, något som normalt ska ske. Ett exempel är att han lyckas få en telefon att skicka ut felaktiga gps-koordinater.

Under ett annat föredrag på Black Hat demonstrerar Kindsight hur det går till att modifiera Angry Birds, så att samtal spelas in, bilder tas och personliga data skickas från en telefon.

Grunden för intrång av den här typen är att flera säkerhetskontroller av kod utförs på olika nivåer i Android. Det Forristal och andra lyckas visa är att det går att tillföra kod till en app ”mellan” de olika säkerhetskontrollerna.

– Den onda filen hamnar utanför processen för verifikation, säger Jeff Forristal.

Under föredraget räknar han även upp andra sårbarheter i Android som har åtgärdats och tillägger att det handlar om kända sårbarheter och att det kan finnas flera som inte är kända.

Ett potentiellt problem i sammanhanget är att det går att ladda ner filer från andra källor än Google Play, Google egna webbplats för appar. Det behöver i sig inte vara ett problem att till exempel ladda ner appar från Amazon. Problemet är enligt Forristal att en sådan nedladdning kräver att ”okända källor” godkänns för nedladdning och att många användare inte inaktiverar sådana källor efter att en nedladdning utförts.

 

Inga kommentarer:

Skicka en kommentar