Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
https://lh6.googleusercontent.com/-RVa8zbdUrQo/UUrUqgSoJrI/AAAAAAAAD7I/YX5RiDHdK1Q/s800/samsung-galaxy-s-iii-security-exploit.jpg

Sérülékenységek a Samsung androidos termékeiben

2013.03.21. 10.50
https://lh6.googleusercontent.com/-RVa8zbdUrQo/UUrUqgSoJrI/AAAAAAAAD7I/YX5RiDHdK1Q/s800/samsung-galaxy-s-iii-security-exploit.jpgKedden a független olasz kutató, Roberto Paleari egy blogbejegyzésében fejtette ki, hogy meglehetősen sok sebezhetőséget talált a Samsung androidos eszközeiben. Paleari állítása szerint miután jelentős időt töltött el néhány termékkel, 6 darab sérülékenységet fedezett fel a régebbi Galaxy Tab eszköztől kezdve a Galaxy S3-ig bezárólag. Mind a hat hiba jogosultság nélkül kijátszható köszönhetően a Samsung saját szoftvereinek és testreszabásainak.

Paleari elmondta, hogy sikerült alkalmazást csöndben, a felhasználó számára észrevétlenül telepítenie egy másik segítségével, megfelelő hozzáférés és felhasználói interakció nélkül. A biztonsági rés egyaránt érinti a Galaxy Tabot és S3-at is.

Proof of Concept:


A blogbejegyzésben még szó kerül arról a sebezhetőségről, aminek segítségével a támadó szinte bármilyen folyamatot kezdeményezhet az áldozat telefonján, legyen az például telefonhívás, vagy éppen SMS küldés, úgyszintén erre való jogosultság nélkül. Legvégül az utolsó sebezhetőség segítségével az áldozat telefonjának beállításai módosíthatóak jogtalanul - beleértve az internet és hálózati beállításokat is.

A blogger állítása szerint már július-augusztus táján értesítette a Samsungot, de a javítás kiadásáról azóta sem hallott. Február 20-án a Samsung kapcsolatba lépett a szakértővel, akinek közölték, hogy a hibák publikálását halassza későbbre - védekezett a vállalat - mert állításuk szerint a javításokat a kiadások előtt a szolgáltatóknak jóvá kell hagyniuk.

A szolgáltatók nem először kerülnek “a figyelem középpontjába”, mert meglehetősen késve adják ki biztonsági foltokat. Kifogásolják viszont a frissítéseket, mivel számukra erőforrás igényes folyamat, illetve a fogyasztók úgy is hamar váltanak a következő generációra, nem törődve a frissítésekkel. Februárban a HTC America az USA Szövetségi Kereskedelmi Bizottságával megegyezést kötött, hogy megreformálják a biztonsági részlegüket, mivel sok szemrehányást kaptak a kevés biztonsági folt kiadása és a fejlesztések gyenge biztonságosságai miatt.

A Samsung hatalmas piaci részesedése miatt a biztonsági kutatások terén is “népszerűségre” tett szert

A hónap elején Terence Eden egy érdekes biztonsági résre hívta fel a figyelmet. A támadási lehetőség a legfrissebb vagyis 4.1.2 alatt is tesztelt és alkalmazható. Röviden: a támadó számára megengedi, hogy blokkolja a záróképernyőt és hozzáférjen bármelyik alkalmazáshoz. Kihasználáshoz a telefon emergency call funkcióját kell alkalmazni, majd hamis szám tárcsázásával a Google Play piactérhez lehet hozzáférni. A hamis szám tárcsázása után egy pillanatra felvillan a kezdőképernyő, ami lehetőséget biztosít Google Play elindításához. A szoftverboltban pedig temérdek alkalmazást találunk amelyek képesek a záróképernyőt kiiktatni, így teljes hozzáférést biztosítva az áldozat telefonjához. Ebből látszik, hogy mindössze egy egyszerű fizikai interakció elég, hogy irányításunk alá vonjunk más Samsung telefonját.


A hibát a Samsung megerősítette és már készítik a javítást.

Miért drágák az Apple termékei?
Új módszerrel verik át az internetezőket
Nagyon gyors lett az új Firefox
Micsoda?! Frissítették a Google Glasst!
Nagyon olcsó kütyüket mutatott be az iRULU
Hajlítható notebook koncepció a Lenovótól
Felkapott témák
Miért drágák az Apple termékei?
Új módszerrel verik át az internetezőket
Kinek kell az új iMac Pro 6 millió forintért?
Megérkezett a Debian 9 „Stretch”
Ilyen lesz az iOS 11-et futtató iPhone X
Új erőre kaphat az okosórák és az okoskarkötők piaca
Állásajánlatok
Senior UI Developer
Karbantartó mérnök
Analízismérnök - Új generációs motor bevezetése
System Administrator Debrecen
Email Marketing Specialist
Gyártásközi minőségbiztosítási mérnök
Senior ASP.NET Developer PJ-7100