LINUX.ORG.RU

Оказалось, что в проверка подписи приложений в андроиде - дуршлаг

 ,


0

1

Доброго времени суток

Сабж: http://www.blackhat.com/us-13/briefings.html#Forristal

Обнаруженную уязвимость уже научились использовать для модификации кода apk без нарушения цифровой подписи. Повысить права приложения не получится ( для этого нужно модифицировать manifest ), но можно вносить изменнения в приложения, у которых уже есть необходимые права. Для установки изменённого приложения всё равно придётся обманывать пользователя социальной инженерией или искать другие уявзимости.

И, как обычно, заплатки скорее всего появятся исключительно для гуглофонов

★★★★★

Никто не мешает добавить в гугл плей приложение, которое «обновится» с сайта злоумышленника.

Это одно из правил добовления приложений в гуглоплей

xorik ★★★★★ ()
Ответ на: комментарий от xorik

В смысле так делать нельзя по правилам гуглоплея

xorik ★★★★★ ()
Ответ на: комментарий от mono

Раньше можно было надеяться на проверку цифровой подписи. Теперь - нет. И «уязвимы все версии android» - полный абзац

router ★★★★★ ()
Ответ на: комментарий от router

Проверка цифровой подписи нужна для того чтобы нельзя было поставить левое «обновление» того софта, что у тебя уже стоит.

Например - стоят у тебя яндекс-карты, ты же не будешь ставить новую версию яндекс-карт, откуда-нибудь из левого места? А иначе, чтобы воспользоваться уязвимостью, злоумышленнику нужно угнать паблишер-аккаунт яндекса.

То есть, в принципе, все остается как и было:

a) не нужно ставить софт из левых мест

б) при установке софта внимательно смотреть на пермишны

mono ★★★★★ ()

1 использовать цианоген
2 качать исходники c f-droid
3 проверять код и компилировать самому
4 ???????
5 Profit

Novell-ch ★★★★★ ()
Ответ на: комментарий от router

Ну а дальше что? Вот ты взял APK яндекс-карт, внедрил в него вредоностный код, как ты его пользователю отправишь?

Так же, не забывай, что если вредоностный код будет обращаться к тем API, что требуют дополнительных пермишнов (например - контакты или смс), то их тоже нужно будет добавить в AndroidManifest.

mono ★★★★★ ()
Последнее исправление: mono (всего исправлений: 1)
Ответ на: комментарий от mono

Сотни леммингов качают софт с варезных сайтов по привычке. Социальную инженерию тоже никто не отменял. Ставят же браузеры с взондленными плагинами.

то их тоже нужно будет добавить в AndroidManifest.

Зато есть системные приложения, например от производителей гаджетов. Про ситуацию с отсутствием официальных обновлений все в курсе. И когда на тот же 4pda выкладывают обновление прошивки «от анонимуса», её устанавливает большое количество «продвинутых пользователей»

router ★★★★★ ()
Ответ на: комментарий от router

Да, в итоге ничего не меняется, как выкладывали малварю, так и будут выкладывать.

Чтобы не наколоться, нужно ставить софт только из проверенных мест - раз. Внимательно читать пермишны - два.

И когда на тот же 4pda выкладывают обновление прошивки «от анонимуса»

Если ты про обновление прошивки через CWM и проч., то там и сейчас все зависит исключительно от совети анонимуса, потому что можно не изменять apk, а положить нужный код рядышком.

mono ★★★★★ ()
Ответ на: комментарий от mono

Если игнорировать «проверке подписи приложений в андроиде больше нельзя доверять», то да, ничего не изменилось :)

«В заборе по периметру режимного объекта упала одна секция. Ну и ладно, у вменяемого командира всё равно служба войск поставлена и патрули ходят.»

router ★★★★★ ()
Ответ на: комментарий от router

Ну да, неприятно, но что делать. И автоматички, полного доступа к устройству, эта штука не даст.

Гугл бяка, согласен.

mono ★★★★★ ()
Ответ на: комментарий от mono

Я тормоз. Только теперь решил внимательно прочитать первое сообщение и понял, что оно весьма неоднозначно. Исправил текст темы.

router ★★★★★ ()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от router

На швабре, так вообще, такую бучу раздули, что жутко становится от такой откровенной желтизны.

mono ★★★★★ ()
Ответ на: комментарий от router

вообще-то не все. Но эти «не все» уже практически не используются

zikasak ★★ ()
Ответ на: комментарий от router

На 4pda пасётся толпа школоломартышек, которые могут (и то с переменным успехом) только тупо следовать инструкциям, совершенно не задумываясь над их смыслом. Если им написать N-ным пунктом: «Пришлите пароль от своего гугл-аккаунта и номер банковской карты на такой-то адрес» - вопли будут только: «А у миня нету карты, што делать? мамину можно?»

anonymous ()
Ответ на: комментарий от zikasak

Это приложение еще нужно как-то загрузить пользователю, и чтобы он согласился его установить.

mono ★★★★★ ()
Ответ на: комментарий от mono

Ну а дальше что? Вот ты взял APK яндекс-карт, внедрил в него вредоностный код, как ты его пользователю отправишь?

очевидно, подменив IP адрес яндекса на какой-то подставной сервер. Это можно сделать как в самом девайсе, так и на любом узле между девайсом и яндексом. Причём приложение ничего и не заподозрит, как и юзер.

Например так защищались от проверки подлинности в WinXP, просто заворачивая проверялку на локалхост. Многие вирусы тоже подменяют некоторые адреса, дабы пользователь попадал не на 87.240.131.99 (где у меня сейчас vk.com), а на какой-то иной IP(по которому предлагают отправить СМС или ещё что-нить полезное).

И вообще, модератору лора как-то странно верить в то, что vk.com это именно сайт вконтакта, а не какая-то НЁХ, которую тебе специально подставили. Ты просто расслабился, пользуясь тем, что в твоём арчике ЭЦП ещё никто не сломал, и потому ты можешь смело качать ПО откуда угодно.

drBatty ★★ ()

Не пофиг разве? Андроид и не был таким уж защищённым. Из левых источников установка не рекомендуется. А любители вареза должны страдать.

Pakostnik ★★★ ()
Ответ на: комментарий от quowah

То что у гугла монополия на дистрибьюцию софта для Android, это полный фейл.

А так устроен Андроид, что без гугла никуда. Сами для себя и сделали всё. Империя добра. С Убунту-фоном таж фигня будет почти, если взлетит.

Pakostnik ★★★ ()
Ответ на: комментарий от drBatty

Вот я ровно про то и пишу, что сама по себе уязвимость не дает доступа ко всему телефону, вопрос доставки зараженного кода пользователю - это отдельный разговор.

Сценарии доставки можно выдумывать какие угодно, это уже отдельная история.

mono ★★★★★ ()
Ответ на: комментарий от mono

Вот я ровно про то и пишу, что сама по себе уязвимость не дает доступа ко всему телефону, вопрос доставки зараженного кода пользователю - это отдельный разговор.

сама по себе эта уязвимость как раз и решает вопрос доставки. Т.е. если раньше у тебя приложение обновлялось, и ты был спокоен, зная, что оно качает то что надо, а не НЁХ, то теперь приложение обновляется, но ты НЕ знаешь, ЧТО оно скачало. Т.е. новая яндекс-карта может оказаться совсем не картой, и совсем не от яндекса. Но приложение вместе с тобой об этом НЕ узнает. Злоумышленник может с лёгкостью скачать настоящую карту, и подвесить к ней ЧТО УГОДНО, а ты вместе с приложением ничего и не узнаешь.

Сценарии доставки можно выдумывать какие угодно, это уже отдельная история.

в том-то всё и дело, что сценарий доставки УЖЕ есть: это обновления/установка. Это как СПИД, который совсем не опасен сам по себе. Он просто уничтожает иммунную систему, которая в общем-то и не нужна никому, кто живёт в стерильном боксе. А все остальные ВИЧ инфицированные подыхают от тривиальной простуды. Точно также и тут — твой девайс погубит тривиальный апплет к телефонной книжке, который скачается так, что ты даже и не заметишь. И запустится как родной, ибо защитная система у тебя уничтожена.

drBatty ★★ ()
Ответ на: комментарий от Pakostnik

Из левых источников установка не рекомендуется.

фишка в том, что «левость» источника как раз и обеспечивается отсутствием доверенной ЭЦП. Если эта уязвимость действительно работает, то ВСЕ источники становятся «правыми».

А любители вареза должны страдать.

а вот как раз любителей вареза это и не коснётся.

drBatty ★★ ()
Ответ на: комментарий от drBatty

Злоумышленник может с лёгкостью скачать настоящую карту, и подвесить к ней ЧТО УГОДНО, а ты вместе с приложением ничего и не узнаешь.

А давно протокол гугл-плея отреверсили? Ты уверен, что там защита обеспечивается исключительно подписью apk?

mono ★★★★★ ()
Ответ на: комментарий от mono

Ты уверен, что там защита обеспечивается исключительно подписью apk?

я уверен только лишь в том, что _всё_ кроме ЭЦП отлично ломается. И те, кому это нужно, сломают и отреверсят в ближайшее время.

Да и что там может быть такого, что сложно сломать?

drBatty ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.