Adatlopást lehetővé tevő Android sebezhetőség

 ( trey | 2010. november 25., csütörtök - 16:08 )

Thomas Cannon biztonsági szakértő nemrég egy adatlopást lehetővé tevő Android sebezhetőségbe botlott. A sebezhetőség lehetővé teszi rosszindulatú weboldalak számára, hogy azok az SD kártyán tárolt fájlok tartalmához hozzáférjenek.

Cannon a sebezhetőségre írt PoC-t Android 2.2-t (Froyo) futtató Android emulátoron és Android 2.2-t futtató HTC Desire készüléken is tesztelte.

A sebezhetőségről értesítette az Android Security Team november 19-én. A biztonsági csapat azonnal válaszolt, komolyan vette a problémát. A hibát az Android 2.3 (Gingerbread) megjelenése után tervezik javítani egy karbantartási kiadásban. A javításig Cannon több workaround-ot is javasol a felhasználóknak.

Részletek a blogbejegyzésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Sajnos önmagában a Market is veszélyes.
Pl. létezik egy program - magyar fejlesztésű -, ami a CIB Bankos számlaegyenleget hivatott lekérni és megmutatni. A dolog szépséghibája, hogy a CIB Bank mit sem tud a programról.
A fenti csak egy példa arra, hogy személyes adatokat milyen könnyen ki lehet csalni a egy program segítségével, ami pl. a Marketből elérhető.

Nekem kulonosen ez tetszik:

A biztonsági csapat azonnal válaszolt, komolyan vette a problémát. A hibát az Android 2.3 (Gingerbread) megjelenése után tervezik javítani egy karbantartási kiadásban

---
pontscho / fresh!mindworkz

igen az valoban nevetseges :/ Maemo/Meegoban a kevesebb fejleszto joval gyorsabban javitana a kevesebb felhasznalot erinto sebezhetoseget

"Maemo/Meegoban a kevesebb fejleszto joval gyorsabban javitana a kevesebb felhasznalot erinto sebezhetoseget"

Hogy jön ez ide?

nekem minden ennel kisebb bug reportomra meg aznap valaszoltak.

Ugy jon ide, hogy illene az Androidnak ezt komolyan venni (bar szerintem errol erkezni fog meg updtae, "ma javitja a Google" kezdetu cikk hamarosan, vagy hasonlo, de ez a kijelentesuk, hogy 2.3 utan ez finaomnszolva durva)

Érdekes, hogy az Android fejlesztői a securityt afféle másodrangú featureként kezelik: hát sokan kérték, hogy ne' lehessen má távolról adatot lopni, maj' átgondoljuk aztán jelentkezünk.

Ezzel nemcsak az a probléma, hogy az r=0 és kissé nagyobb sugarú júzerekre mér egy nagyrakás lesz*rást, hanem azokra, is, akik bevállalva a garanciavesztést igyekeznek a rootolt készülékeikkel a lehető legfrissebb, de már használható ROM-okat telepítgetni.

Ebben az az érdekes, hogy nekem Nexus One-om van és két napja feldobta, hogy elérhető egy fontos rendszerfrissítés. Akkor az Android 2.3-ra gondoltam, aztán gyorsan feltűnt hogy valamilyen más javítás. Lehet hogy ennek a hibának a javítása lett volna vagy más?

Szerencsés vagy a nexusoddal. Sajnos azonban a legjellemzőbb az, hogy nem csak a google-re kell várni (lehet, hogy rájuk nem is kell várni sokat), hanem a telfongyártókra, és a szolgáltatókra is, hogy elkészítsék az új rom-ot, és terjeszteni kezdjék.

Az én motorola milestone-omra hónapokkal azután érkezett meg a 2.1 hibajavító update-je, hogy angol nyelvú fórumokon szó volt róla. És ez csak egy hibajavító update egy verzióra nézve, a 2.2 még várat magára.

nekem azok a free marketes appok tetszenek amik emelt díjas hívást és smst akarnak használni


No rainbow, no sugar

pofatlansag teteje

Ilyennel még nem találkoztam... (Csak a felismerhetőség kedvéért tudnál "ajánlani" egy ilyen programot?)

Csak néhány példa, amit nem értek:
Opera Mini: Fizetős szolgáltatások (telefonszámok közvetlen hívása)
Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)

De random szemezgetve rengeteg app a Marketről olyan erőforrásokat kíván használni, amik egyszerűen érthetetlenek. És ezek mind olyan free appok, amik nem 1 vagy 2 csillagosok, hanem kimondottan népszerűek, és sok letöltés van mögöttük. De ez sem új dolog (Például nemrég írták itt.)

Az opera azóta kibővült sms küldésre is...

és igen van egy valag ilyen, engem is idegesít. (Mondjuk sok kárt nem tud csinálni mert az emelt díjas és külföldi hívások le vannak tiltva a céges kártyán... de akkor is)


No rainbow, no sugar

"Az opera azóta kibővült sms küldésre is..."

Az sms küldés semmi mást sem csinál, mint értesítheted a haverodat, milyen jó kis böngészőt használsz.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Igen teljesen megszokott napi dolog ez, LOL.

Ennyi erővel a minesweeper meg elkérhetné a bakszámlaszámomat mert akkor fogadhatnék a haverokkal, hogy nem rontom el.


No rainbow, no sugar

LOL, vagy a Mahjong bekerhetne a telefonkonyvedbol a telefonszamokat random seednek :D

Bar a szemelyes kedvenc akkor is a local high score miatt bekert GPS koordinatak :D

Komolyra forditva a szot szerintem meg lehetne/kellene oldani, hogy bizonyos dolgokat csak akkor hasznaljanak az alkalmazasok, ha engedelyt adok ra, mar a MIDP-es java programokban is lehetett korlatozni a legkezdetlgesebb telefonon is a nethozzaferest, nehogymar most az uberfejlett Androidon gondot okozzon, hogy csak a marketben valo OK-zaskor tilhatod le egy szoftver fizetos szolgaltatasait (mellesleg csak az egesz szoftver fel nem rakasa az ára). Johogynem jelentik ki, hogy "van ra workaround flight mode szemelyeben" :D

Local high-score miatt?! LOL! Az jó! :)
Bár azt nem értem, hogy a global high-score ellen miért ágálnak páran, főleg úgy, hogy le lehet tiltani?! Mi is alkalmazzuk, de eszembe nem jutna soha statisztikákat készíteni a userekről ezzel a módszerrel. Arra van más lehetőség. :)

"Csak néhány példa, amit nem értek:
Opera Mini: Fizetős szolgáltatások (telefonszámok közvetlen hívása)"

Az opera mini alaphelyzetbe el tudja különíteni a weboldalon lévő telefonszámokat, és ha rányomsz, fel tudod hívni. Ennyi. Ha nem tetszik a szolgáltatás, le lehet tiltani az opera:config-ba

"Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)"

Ez a telefon állapotának olvasása és alvásának megakadályozása azt a célt szolgálja, hogy amikor takarékos üzemmódba kerül a teló, ill. ha adott időn belül elsötétedne a kijelző, ne lépjen ki a játékból. Magyarán az adott játék (alkalmazás) felülbírálhatja ezt a funkciót.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

>> Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)
> Ez a telefon állapotának olvasása és alvásának megakadályozása azt a célt szolgálja, hogy amikor takarékos üzemmódba kerül a teló, ill. ha adott időn belül elsötétedne a kijelző, ne lépjen ki a játékból. Magyarán az adott játék (alkalmazás) felülbírálhatja ezt a funkciót.

Hát szerintem, amit te mondasz, az inkább "Rendszereszközök (a telefon alvó állapotba kerülésének letiltása)" címszó alatt szerepel.

Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)

Ezt nagyon sok programnál láttam, ne engem kövezzetek, ha nincs igazam, de véleményem szerint ez arról szól, hogy ha a program használata közben hívásod érkezik, akkor azt a program le tudja kezelni. Például megállítja az órát időre menő játéknál. vagy ilyesmi.

---

és mi lesz a 2.1-et vagy még régebbi verziót használókkal?

Ők reménykednek, hogy ez egy 2.2-es bug és a korábbi verzióba még nem volt ideje a fejlesztőknek belerakni.
Majd a Ginger kiadása után oda is berakják :)

Azért a teljesség kedvéért itt egy precizebb leírás a sebezhetőségről: http://mysec.hu/magazin/35-lapszemle/240-biztonsagi-res-az-android-boengeszjen-

Ezzel természetesen nem akarom bagatellizálni a problémát, de számomra úgytűnik, hogy nagyobb a füst, mint a láng.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.