Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3200

Все версии Android уязвимы к атаке PileUp


Исследователи из Индианского университета и компании Microsoft опубликовали статью (PDF), в которой описали новый класс уязвимостей в платформе Android, который затрагивает все её версии, включая полностью открытую версию Android - Android Open Source Project. Уязвимыми на данный момент являются все аппараты, работающие под управлением Android.

Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется. Злоумышленник может подготовить приложение, запрашивающее доступ к привилегированным операциям, появившимся в свежей версии платформы. При установке такого приложения на старых версиях Android данные неизвестные привилегии будут проигнорированы. При обновлении операционной системы до более новой версии сервис Package Management Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все присутствующие в нём разрешения, даже на те, которые не поддерживались в старых выпусках ОС. Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.

Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС, или получают только обновления, которые не увеличивают основную ревизию, например, с 4.2 до 4.2.2.

Дополнительно можно отметить выявление опасной DoS-уязвимости в Android 2.3, 4.2.2, 4.3 и возможно других выпусках. Установка подготовленного злоумышленниками пакета APK может привести к неустраняемым зацикленным перезагрузкам, т.е. приводит к неработоспособности устройства до выполнения перепрошивки. Суть метода в заполнении поля "appname" в метаданных к пакету слишком большим значением, превышающим 387000 символов. Интересно, что выявивший уязвимость исследователь попытался протестировать возможность загрузки вызывающего уязвимость APK-пакета в Google Play, что привело к нарушению работы сервиса в процессе проверки корректности пакета и невозможности другим пользователям во время проверки загрузить приложения в Google Play.


Источник: opennet.ru

  24 марта 2014 617
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 1 и 11*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 39 и 4*:


Яндекс цитирования
сообщить о неточности