Podatność w Androidzie – można wykradać SMSy – trudne do wykrycia

05 maja 2016, 22:00 | W biegu | komentarzy 7
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Firma FireEye donosi o podatności w Androidzie (4.3, 4.4, 5.0), która została znaleziona w oprogramowaniu firmy Qualcomm (w ramach pakietu network_manager, który jest składnikiem Android Open Source Project).

Podatność została wprowadzona aż w 2011 i przede wszystkich dotyka Androida 4.3 (ok 34% całej „populacji” Androida) – pozostałe systemy są podatne w mniejszym stopniu choć możliwa jest złośliwa podmiana pewnych właściwości OS (a malicious application can surreptitiously modify sensitive OS properties).

Wykorzystanie podatności przede wszystkim odbywa się poprzez działanie odpowiednio złośliwej aplikacji, która może być jednak trudna do wykrycia:

Any application could interact with this API without triggering any alerts. Google Play will likely not flag it as malicious, and FireEye Mobile Threat Prevention (MTP) did not initially detect it. It’s hard to believe that any antivirus would flag this threat. Additionally, the permission required to perform this is requested by millions of applications, so it wouldn’t tip the user off that something is wrong.

Błąd został załatany na początku maja tego roku, m.in. wśród w sumie sześciu błędów z kategorii ‚Critical’.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Krakowiak wojciech

    Spytam się bo może ktoś odpowie. Planuje kupić w końcu pierwszego smartfona, jednak zaznaczam że będzie to być może Sony xperia C1905 (M1 jak by ktoś nie wiedział – kitkat 4.4 ) z 4″ ekranem lub Iphone SE. Telefon z racji mojego braku wiedzy i zaufania nigdy nie będzie podłączony do wi-fi a wszelkie apki ogranicze do dodatkowej klawiatury i programu do zarządzania energią. Czy powinienem się bawić w rootowanie i modyfikacje najnowszego androida, czy spokojnie sobie darować skoro i tak nie będzie podłączenia z internetem.
    Z gory przepraszam i dzieki za odpowiedź od ludzi którzy rozumieją moje obawy :)
    P.S coś ktoś o „wycieku” „haseł” gmail hotmail itd? SW straszy w niebogłosy a w zaufanych źródłach nic nikt nie pisze.

    Odpowiedz
    • Kamil Zdun

      (1) Jeśli jesteś niezaawansowanym użytkownikiem to nawet nie myśl o rootowaniu czy jailbreakowaniu, bo to tylko zwiększa powierzchnię potencjalnego ataku, a jak już się trafi to i impact jest większy.
      (2) Ciężko mi uwierzyć, że nigdy go nie podłączysz do WiFi. Zawsze jest ten moment, kiedy przez sprawdzenie czegoś szybko w necie oszczędza się masę czasu. I wtedy to zrobisz :)
      (3) Samo podłączanie do WiFi nie jest jakoś szczególnie niebezpieczne. Na Androidzie groźniejsze są appki nieznanego pochodzenia, łażenie po podejrzanych stronach no i szprytne SMSy wykorzystujące podatności (n.p. Stagefright). Oczywiście pomijam tutaj kontekst privacy, bo to już zależy tylko i wyłącznie od grubości czapeczki foliowej.

      Czy generalnie jak będziesz używał go z głową to nic przykrego nie powinno Cię spotkać.

      (4) Wyciek haseł opisał Adam na z3s.

      Odpowiedz
    • anon

      Jak chcesz pobrać apki klawiature i bateria skoro „nie będzie podłączenia z internetem” i skoro nie będziesz korzystał z netu to po co Ci smartfon?

      Jestem użytkownikiem android 4.2.2 i po latach użytkowania stwierdzam że Android to zło. Powodów jest kilka m.in.
      1. Google, które nie dba w należyty sposób o bezpieczeństwo użytkowników. Zgodnie z ich polityką to producent urządzenia jest odpowiedzialny za aktualizację systemu. Niestety ten ostatni często ma je w …. Pewnym remedium jest projekt Cyanogenmod, niestety mój tablet nie jest i nie będzie wspierany.
      2. Niby Google testuje apki w sklepie ale syf przenika.

      P.S. Rozwinąłbyś skrót SW … czy chodzi Ci o ten wyciek https://zaufanatrzeciastrona.pl/post/setki-milionow-hasel-w-rekach-przestepcow-ale-to-normalne/

      Odpowiedz
    • Arek

      Telefon z Kitkatem nie bedzie mial dostepnych latek bezpieczenstwa.
      Nawet CM czy inne mody nie wydaja juz buildow z poprawkami.
      A jak pokazuje historia mozna stracic kontrole nad telefonem poprzez mmsa a kto wie moze nawet smsa.
      Jesli twoj smartfon bedzie mial karte sim to lepiej zeby dostawal latki bezpieczenstwa.

      Odpowiedz
    • Tajny agent

      Oprócz braku WiFi musisz jeszcze wyłączyć transmisje danych komórkowych. Warto zablokować też MMSy. W tym przypadku dodatkowe kombinowanie powinno być zbędne.

      Otwartoźródłowe APKi:
      https://f-droid.org/

      Odpowiedz
  2. kerszi

    Lepiej się pobaw jakiś czas, i dopiero wtedy rootuj, i to jak będzie zamulać. Możesz zamienić soft na Cyanogenmod, ale to równa się z utratą gwarancji, tak samo jak rootowania. Smartfon bez internetu ma mały sens, nie wiem czemu masz nie korzystać z wifi. I w jaki sposób najnowsze aplikacje pościągasz. Na komputer i z niego na komorke? Trochę to męczące. Sciąganie aplikacji przez google play jest dosyć bezpieczne, chociaż trafilem na parę podejrzanych.

    Odpowiedz
  3. Krakowiak wojciech

    Dzięki wszystkim za wartościowe informacje. I linki

    0) Po co mi smartfon? Bo moj stary głupkofon wyłącza się, a kciuki mnie bolą od stukania sms na fizycznej klawiaturze alf numerycznej. Ponadto wkur jest limit 100 sms. Obawiałem się że smartfon będzie miał kiepską baterie, ale puki co to po wywaleniu całego niemal syfu działa 9 dni bez ładowania. Po to mi smartfon, by nie kasować ciągle sms i dać odpocząć kciukom i moc pisać 1 sms na 10 sek a nie 1 minute:P

    1) Rozwarzałem rootowanie, jednak ze względu na brak połączenia do sieci nie widziałem w tym sensu bo jak wspomnieliście, nowe podatności. I tak, nie będę się podłączać do sieci bo jakoś 10 lat dawałm sobie rade bez tego i myślę że spokojnie kolejne też dam.

    2) Nie będę ściągać apek bo ich nie potrzebuje (prócz wsponianej Multiling O Keyboard ) – ta ma możliwość na stronie autora być pociągnięta bezpośrednio lub z google store. Może i męczące ale zawsze w tedy mogę użyć virustotal (chyba ze przeceniam możliości tej strony i to mi nic nie da ), z resztą co znaczy dodatkowa minuta z życia? Już więcej życia trace na szukanie nożyczek w domu:)

    3) SW – spider web

    Odpowiedz

Odpowiedz