Adatlopást lehetővé tevő Android sebezhetőség

Címkék

Thomas Cannon biztonsági szakértő nemrég egy adatlopást lehetővé tevő Android sebezhetőségbe botlott. A sebezhetőség lehetővé teszi rosszindulatú weboldalak számára, hogy azok az SD kártyán tárolt fájlok tartalmához hozzáférjenek.

Cannon a sebezhetőségre írt PoC-t Android 2.2-t (Froyo) futtató Android emulátoron és Android 2.2-t futtató HTC Desire készüléken is tesztelte.

A sebezhetőségről értesítette az Android Security Team november 19-én. A biztonsági csapat azonnal válaszolt, komolyan vette a problémát. A hibát az Android 2.3 (Gingerbread) megjelenése után tervezik javítani egy karbantartási kiadásban. A javításig Cannon több workaround-ot is javasol a felhasználóknak.

Részletek a blogbejegyzésben.

Hozzászólások

Sajnos önmagában a Market is veszélyes.
Pl. létezik egy program - magyar fejlesztésű -, ami a CIB Bankos számlaegyenleget hivatott lekérni és megmutatni. A dolog szépséghibája, hogy a CIB Bank mit sem tud a programról.
A fenti csak egy példa arra, hogy személyes adatokat milyen könnyen ki lehet csalni a egy program segítségével, ami pl. a Marketből elérhető.

Szerencsés vagy a nexusoddal. Sajnos azonban a legjellemzőbb az, hogy nem csak a google-re kell várni (lehet, hogy rájuk nem is kell várni sokat), hanem a telfongyártókra, és a szolgáltatókra is, hogy elkészítsék az új rom-ot, és terjeszteni kezdjék.

Az én motorola milestone-omra hónapokkal azután érkezett meg a 2.1 hibajavító update-je, hogy angol nyelvú fórumokon szó volt róla. És ez csak egy hibajavító update egy verzióra nézve, a 2.2 még várat magára.

Csak néhány példa, amit nem értek:
Opera Mini: Fizetős szolgáltatások (telefonszámok közvetlen hívása)
Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)

De random szemezgetve rengeteg app a Marketről olyan erőforrásokat kíván használni, amik egyszerűen érthetetlenek. És ezek mind olyan free appok, amik nem 1 vagy 2 csillagosok, hanem kimondottan népszerűek, és sok letöltés van mögöttük. De ez sem új dolog (Például nemrég írták itt.)

LOL, vagy a Mahjong bekerhetne a telefonkonyvedbol a telefonszamokat random seednek :D

Bar a szemelyes kedvenc akkor is a local high score miatt bekert GPS koordinatak :D

Komolyra forditva a szot szerintem meg lehetne/kellene oldani, hogy bizonyos dolgokat csak akkor hasznaljanak az alkalmazasok, ha engedelyt adok ra, mar a MIDP-es java programokban is lehetett korlatozni a legkezdetlgesebb telefonon is a nethozzaferest, nehogymar most az uberfejlett Androidon gondot okozzon, hogy csak a marketben valo OK-zaskor tilhatod le egy szoftver fizetos szolgaltatasait (mellesleg csak az egesz szoftver fel nem rakasa az ára). Johogynem jelentik ki, hogy "van ra workaround flight mode szemelyeben" :D

Local high-score miatt?! LOL! Az jó! :)
Bár azt nem értem, hogy a global high-score ellen miért ágálnak páran, főleg úgy, hogy le lehet tiltani?! Mi is alkalmazzuk, de eszembe nem jutna soha statisztikákat készíteni a userekről ezzel a módszerrel. Arra van más lehetőség. :)

"Csak néhány példa, amit nem értek:
Opera Mini: Fizetős szolgáltatások (telefonszámok közvetlen hívása)"

Az opera mini alaphelyzetbe el tudja különíteni a weboldalon lévő telefonszámokat, és ha rányomsz, fel tudod hívni. Ennyi. Ha nem tetszik a szolgáltatás, le lehet tiltani az opera:config-ba

"Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)"

Ez a telefon állapotának olvasása és alvásának megakadályozása azt a célt szolgálja, hogy amikor takarékos üzemmódba kerül a teló, ill. ha adott időn belül elsötétedne a kijelző, ne lépjen ki a játékból. Magyarán az adott játék (alkalmazás) felülbírálhatja ezt a funkciót.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

>> Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)
> Ez a telefon állapotának olvasása és alvásának megakadályozása azt a célt szolgálja, hogy amikor takarékos üzemmódba kerül a teló, ill. ha adott időn belül elsötétedne a kijelző, ne lépjen ki a játékból. Magyarán az adott játék (alkalmazás) felülbírálhatja ezt a funkciót.

Hát szerintem, amit te mondasz, az inkább "Rendszereszközök (a telefon alvó állapotba kerülésének letiltása)" címszó alatt szerepel.

Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)

Ezt nagyon sok programnál láttam, ne engem kövezzetek, ha nincs igazam, de véleményem szerint ez arról szól, hogy ha a program használata közben hívásod érkezik, akkor azt a program le tudja kezelni. Például megállítja az órát időre menő játéknál. vagy ilyesmi.

és mi lesz a 2.1-et vagy még régebbi verziót használókkal?

Azért a teljesség kedvéért itt egy precizebb leírás a sebezhetőségről: http://mysec.hu/magazin/35-lapszemle/240-biztonsagi-res-az-android-boen…-

Ezzel természetesen nem akarom bagatellizálni a problémát, de számomra úgytűnik, hogy nagyobb a füst, mint a láng.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.