mboost-dp1

Google

82 procent af Android brugere sårbare overfor “Fake ID” angreb

- Via The Guardian com -

Sikkerhedsfirmaet Bluecoat Labs, har fundet en sårbarhed i Android de kalder for “Fake ID”, der rammer alle versioner siden 2.1 og op til 4.4. Den sidste nye version af 4.4 der blev frigivet i april (version 4.4.4) er ikke ramt. Det betyder at 82,1 % af Android brugerne i øjeblikket er sårbare overfor angreb via Fake ID.

Sårbarheden findes i den måde Android håndterer godkendelse af applikationer på. En applikation har en kryptografisk signatur, der bestemmer hvad den kan på ens smartphone, samt hvem der må opdatere den.

Der benyttes en række certifikater i en hierarkisk struktur, til at tjekke tilhørsforholdet for en given applikation. Problemet er så, at der ikke udføres et grundigt nok check af certifikaterne, hvorfor det er muligt, at udstede sit eget underliggende certifikat og lade som om den eksempelvis tilhører Adobe.

Adobe’s øverste certifikat har en masse grundliggende rettigheder, som laverestående certifikater med et Adobe tilhørsforhold arver. Det betyder at er falsk certifikat, kan give ens applikation de samme rettigheder som Adobe’s applikationer har.

Gør man brug af eksempelvis certifikatet til Googles NFC funktion, så giver det pludseligt adgang til Googles Wallet service og dermed eventuelle kreditkortoplysninger man måtte have oplyst her.

Efter at Bluecoat Labs oplyste Google om sårbarheden, har Google hurtigt fået lavet en patch og givet denne til deres partnere. Det er nu op til partnerne af få distribueret patchen ud til deres mange varianter af smartphone.





Gå til bund
Gravatar #1 - mfriis
31. jul. 2014 07:18
Det er en sandhed med modifikationer.

"We appreciate Bluebox responsibly reporting this vulnerability to us; third party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play and we have seen no evidence of attempted exploitation of this vulnerability."


Så der findes i dag ingen apps der bruger den exploit i Play Store. Fremover tjekkes de alle for den slags.

Så med mindre du hjernedødt installerer apps uden for Play så er du pænt sikker.

Så realiteten er ikke at 82% er åbne for det angreb. De mange der ikke har slået tilladelse for app installation fra usikre kilder til skal trækkes fra.

Men fed EB artikel!
Gravatar #2 - Manofsciencemanoffaith
31. jul. 2014 07:40
mfriis (1) skrev:
Så der findes i dag ingen apps der bruger den exploit i Play Store. Fremover tjekkes de alle for den slags.

Så med mindre du hjernedødt installerer apps uden for Play så er du pænt sikker.


Det er vist den foretrukne metode i Kina og derovre omkring. Hvis man bruger den officielle Play Store er chancen for malware minimal.
Gravatar #3 - Montago.NET
31. jul. 2014 07:40
Det undre mig ikke at denne exploit dukker op...

Efter jeg prøvede at installeret et person certificat på min android, som så resultere i en advarsel som ikke kan fjernes. Har jeg læst en masse omkring certificater på android og derved lært at det er et underprioriteret område på platformen.

Gravatar #4 - kim-j
31. jul. 2014 09:58
Endnu engang et sikkerhedsfirma som er ude på at score kassen ;)
Gravatar #5 - BetaLyte
31. jul. 2014 14:29
#4
Selvom at det ofte er tilfældet, med den her slags nyheder, så synes jeg ikke at det er tilfældet denne gang. Bluebox har fundet et ganske relevant hul, rapporteret det til udvikleren, ventet på at det er rettet og har først derefter offentliggjort deres fund. Offentliggørelsen er også relevant, da der stadig er potentiale for udnyttelse af hullet, så det er rart, at brugere bliver gjort opmærksomme på det.
Gravatar #6 - El_Coyote
2. aug. 2014 10:22
men passer procent angivelsen? en del producenter har opdateret med sikkerhedsrettelser uden at opgradere OS versionsnummeret til 4.4.4, f.eks gør Sony det på den måde.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login