Trójait látott el digitális aláírással a Symbian Foundation

Titkosítás, biztonság, privát szféra

A Symbian Foundation a szoftvertesztelő és -aláíró folyamatának felülvizsgálatát tervezi azután, hogy tévedésből egy, a Symbian mobiltelefon operációs rendszert futtató telefonokhoz készült trójai programot látott el digitális aláírással. A Trend Micro elemzése szerint az aláírt trójai botnet képességekkel rendelkezik és emellett felhasználói adatokat lop.

A visszajelzések szerint képes az áldozat mobiltelefonján található kontaktok spammelésére. A Trend Micro szerint a trójai és annak egyik variánsa érvényes digitális aláírással rendelkezik, s ennek folytán teljes mértékben hozzáfér a mobiltelefon összes funkciójához. Pontosan ennek kivédése lenne a Symbian certification rendszer célja, azaz a digitális aláírással nem rendelkező alkalmazásokat csak nagyon korlátozottan engedi hozzáférni a telefon funkcióihoz.

Hogy a hiba hogyan csúszott be, az jelenleg nem tisztázott.

A részletek itt olvashatók.

( Chain-Q v | 2009. 07. 20., h – 18:24 )

Hogy a hiba hogyan csúszott be, az jelenleg nem tisztázott.

Megmondom: le se fossak ezek, mi van egy alkalmazasban, csak fizesd be a szignozasert a penzt. Azt ugye nem kepzeli barki, hogy minden alairasra submittelt alkalmazas minden verziojat alaposan letesztelik es kielemzik? Gondolom kell meg par ilyen beszopas, mire komolyan veszik a mobilcegek ezt is. Az Apple is csak arra vizsgal, hogy mi az ami az erdekeit kozvetlenul serti... Mondjuk ott legalabb van utolagos visszavonasi lehetoseg, ilyen malware esetekre. (Ami persze atlagos esetben megint megint csak nem pont a jo modszer...)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

( anr | 2009. 07. 20., h – 20:03 )

az emberi hulyeseg ellen semmi sem ved

--
Live free, or I f'ing kill you.

( 4fonya | 2009. 07. 20., h – 20:28 )

Ez kész röhej. Hülyét csináltak magukból és az egész hitelesítési rendszerből.

( KoGa v | 2009. 07. 20., h – 20:32 )

Ennyi ertelme az alairasnak alkalmazasok eseten. Ami hasznalhato az ugysincs alairva mert altalaban nem kereskedelmi hanem ingyenes szoftver :)

Egyszeruen meg kell nezni, mit raksz a telefonodra.

...és hogy nézed meg?!
Egyébként A szignózásos rendszernek is van előnye, ha úgy van megcsinálva, mint az iPhone esetén. Ha homok kerül a gépezetbe, akkor vissza tudják vonni az alkalmazást a user gépéről. Nem ideális megoldás, de jobb egy utólag törölt alkalmazás, mint egy szignózott, vírusos, nem törölhető. Ideális állapot meg ugye nem létezik. ;)

"...és hogy nézed meg?!"

És PC-re hogy nézed meg? Ott elfogadnád, hogy csak olyan programot futtathass teljes hozzáféréssel, amit az oprendszert terjesztő cég aláírt?

Pl. közösségi fejlesztésű nyílt forrású programot telepítesz. Ha te nem is nézed végig a forrást, lesz, aki belenéz, úgyhogy kiderülne, ha rosszindulatú lenne. Ezzel persze lehet vitatkozni, de azt hiszem, még nem találkoztunk nyílt forrású trójaival.

Nyílt forrású trójaival még nem, de malware-rel igen, ld NoScript botrány (obfuscated kóddal saját reklám(!!!)célra alakította át az adblock szabályokat, leleplezés után a fejlesztő visszatette ugyanezt a "funkciót" máshogy, utána másodszorra már állítólag tényleg kivette)
Ez alapján mégsem olyan nehéz a dolog, ez is véletlenül derült ki, pedig csak egy pár soros FF addonról van szó.
Egy több 100 MB-os forrásban vajon észrevennék? És ha igen, mennyi idő alatt?

[szerk: cikk link]

Valóban. Nézzünk egy példát. A hitelesítési folyamaton átcsúszik egy fertőző stuff. Symbian esetén felhívhatják a felhasználók figyelmét, hogy kártékony kódot tartalmaz a program. Ez a felhasználók egy részéhez el sem jut, egy részük meg le sem sz..ja.
IPhone esetében Apple megnyomja a nagy piros gombot és a kártékony alkalmazás eltűnt az összes iPhone-ról. Ez csak az Apple-nek jó? Vagy inkább úgy kérdezem. Mi jó ebben az Apple-nek azon kívül, hogy javíthatja a saját hibáját és esetleg több bizalmat kap a felhasználóktól?

Ezt hivjak kettos felhasznalasu eszkoznek (epp tegnap tanultam meg mit jelent ez a jogi fogalom:). Mint pl. a konyhakes. De inkabb tiltson le az Apple pluszban egy uj podcast letolto izet, mint ha atcsuszik egy firg (csendesen jegyeznem meg, h at lehet verni rajtuk ha nagyon akarja valaki) tehetetlen legyen az ember veluk szemben.

---
pontscho / fresh!mindworkz

Ahhoz, hogy ez a szolgáltató által letiltás működjön, nyilván az kell, hogy tipikusan egy rosszindulatú szoftver se tudjon root jogot szerezni (hiszen akor ki tudná kapcsolni), tehát legyen egy olyan része a szoftvernek, amibe nem tudnak belenyúlni az alkalmazások. Akkor viszont lehetne pl. egy olyan felület, amit mindenképp le lehet érni, az alkalmazások nem tudják módosítani, ahol kézzel el lehet távolítani alkalmazásokat. De az is OK, ha a szolgáltatótól kéri le a letiltandó alkalmazásokat, de megkérdezi a felhasználót, hogy letiltsa-e.

Ahhoz, hogy ez a szolgáltató által letiltás működjön, nyilván az kell, hogy tipikusan egy rosszindulatú szoftver se tudjon root jogot szerezni (hiszen akor ki tudná kapcsolni), tehát legyen egy olyan része a szoftvernek, amibe nem tudnak belenyúlni az alkalmazások

Toretlen iPhoneOS-ban ez megvan. Kernelhez hozzaferni hw korlatok miatt lehetetlen, nyilvanos local root exploitrol nem tudok es minden app a sajat jail-jeben fut. Meg developer license-szel is csak reszlegesen lehet a jail-t megkerulni. Szoval a technoloiai resze adott.

A tobbi reszevel nagyjabol egyetertek, de az egyszeri paraszt, marmint a celkozonseg ostobasagara bizni a letiltast szerintem felelotlenseg ha a trojai szempontjabol nezzuk a dolgot.

---
pontscho / fresh!mindworkz

"marmint a celkozonseg ostobasagara bizni a letiltast szerintem felelotlenseg ha a trojai szempontjabol nezzuk a dolgot."

Ez igaz lehet ("a szemét Apple ki akarja tiltani ezt a csodálatos programot, úgyhogy kapcsold ki az automatikus letiltást, ha használod"), viszont ezen az alapon PC-t is úgy kéne árulni, hogy csak gyártó által aláírt szoftver futtatható rajta, ilyen PC-t mégse venne senki.

Meg fogsz lepodni, de meg linux alatt is megvan ennek a lehetosege, nem csak a kereskedelmi termekekben, ha akarod hasznalhatod, van ahol ennek az alkalmazasat _eloirjak_.

Viszont a PC nem az a dolog amit csak ugy feltornek (ha oda figyelsz), es a felhasznalok nagyon nagyon nagy szazaleka a telefonjan es nem a PC-jen tartja az eletet (sms-ek, cimek, szamok, etc). Raadasul egy PC-t konnyebb megvedeni, mint egy smartphone-t, ott mar tobb evtizede kialakult metodika letezik, amig telefonokon nehany otvaros firg keresot leszamitva _semmi_ sincs. Foleg annak a tekinteteben lesz ez egyre fontosabb kerdes, h egyre tobb "uzletember" kezdi felismerni, h a smartphone nem csak telefonalasra jo, es emiatt rengeteg uzleti titkot is tarolnak a telefonjaikon. (A fizikailag torteno eltulajdonitast most ne vegyuk figyelembe.)

---
pontscho / fresh!mindworkz

"viszont ezen az alapon PC-t is úgy kéne árulni, hogy csak gyártó által aláírt szoftver futtatható rajta, ilyen PC-t mégse venne senki."

Ha első perctől kezdve ezt szoktad volna meg, akkor megvennéd. Egyébként nem lenne olyan nagyon bonyolult ezt megcsinálni Linuxon sem, hiszen csak a repokra kellene korlátozni a telepítés lehetőségét egy speciális buildben. Mondjuk az Ubuntu LTS mintájára lenne egy Ubuntu SE. :)

( emberk | 2009. 07. 20., h – 22:12 )

De gáz :D. Végtére is mindenki hibázhat, de akkor is.

( elhasznalo | 2009. 07. 20., h – 22:17 )

Jó.Kivétel erősitse a szabályt.Ahol emberek dolgoznak hiba is van. :P
____________________________
Darwin Kernel Version 9.7.0: Tue Mar 31 22:52:17 PDT 2009; root:xnu-1228.12.14~1/RELEASE_I386

( strangelove | 2009. 07. 20., h – 23:24 )

-

ami át van húzva, azt teljesen fölösleges elolvasni. az olyan, mintha ott sem lenne