16 891
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
https://lh6.googleusercontent.com/-RVa8zbdUrQo/UUrUqgSoJrI/AAAAAAAAD7I/YX5RiDHdK1Q/s800/samsung-galaxy-s-iii-security-exploit.jpg

Sérülékenységek a Samsung androidos termékeiben

Csiszár Marcell2013.03.21. 10.50
https://lh6.googleusercontent.com/-RVa8zbdUrQo/UUrUqgSoJrI/AAAAAAAAD7I/YX5RiDHdK1Q/s800/samsung-galaxy-s-iii-security-exploit.jpgKedden a független olasz kutató, Roberto Paleari egy blogbejegyzésében fejtette ki, hogy meglehetősen sok sebezhetőséget talált a Samsung androidos eszközeiben. Paleari állítása szerint miután jelentős időt töltött el néhány termékkel, 6 darab sérülékenységet fedezett fel a régebbi Galaxy Tab eszköztől kezdve a Galaxy S3-ig bezárólag. Mind a hat hiba jogosultság nélkül kijátszható köszönhetően a Samsung saját szoftvereinek és testreszabásainak.

Paleari elmondta, hogy sikerült alkalmazást csöndben, a felhasználó számára észrevétlenül telepítenie egy másik segítségével, megfelelő hozzáférés és felhasználói interakció nélkül. A biztonsági rés egyaránt érinti a Galaxy Tabot és S3-at is.

Proof of Concept:


A blogbejegyzésben még szó kerül arról a sebezhetőségről, aminek segítségével a támadó szinte bármilyen folyamatot kezdeményezhet az áldozat telefonján, legyen az például telefonhívás, vagy éppen SMS küldés, úgyszintén erre való jogosultság nélkül. Legvégül az utolsó sebezhetőség segítségével az áldozat telefonjának beállításai módosíthatóak jogtalanul - beleértve az internet és hálózati beállításokat is.

A blogger állítása szerint már július-augusztus táján értesítette a Samsungot, de a javítás kiadásáról azóta sem hallott. Február 20-án a Samsung kapcsolatba lépett a szakértővel, akinek közölték, hogy a hibák publikálását halassza későbbre - védekezett a vállalat - mert állításuk szerint a javításokat a kiadások előtt a szolgáltatóknak jóvá kell hagyniuk.

A szolgáltatók nem először kerülnek “a figyelem középpontjába”, mert meglehetősen késve adják ki biztonsági foltokat. Kifogásolják viszont a frissítéseket, mivel számukra erőforrás igényes folyamat, illetve a fogyasztók úgy is hamar váltanak a következő generációra, nem törődve a frissítésekkel. Februárban a HTC America az USA Szövetségi Kereskedelmi Bizottságával megegyezést kötött, hogy megreformálják a biztonsági részlegüket, mivel sok szemrehányást kaptak a kevés biztonsági folt kiadása és a fejlesztések gyenge biztonságosságai miatt.

A Samsung hatalmas piaci részesedése miatt a biztonsági kutatások terén is “népszerűségre” tett szert

A hónap elején Terence Eden egy érdekes biztonsági résre hívta fel a figyelmet. A támadási lehetőség a legfrissebb vagyis 4.1.2 alatt is tesztelt és alkalmazható. Röviden: a támadó számára megengedi, hogy blokkolja a záróképernyőt és hozzáférjen bármelyik alkalmazáshoz. Kihasználáshoz a telefon emergency call funkcióját kell alkalmazni, majd hamis szám tárcsázásával a Google Play piactérhez lehet hozzáférni. A hamis szám tárcsázása után egy pillanatra felvillan a kezdőképernyő, ami lehetőséget biztosít Google Play elindításához. A szoftverboltban pedig temérdek alkalmazást találunk amelyek képesek a záróképernyőt kiiktatni, így teljes hozzáférést biztosítva az áldozat telefonjához. Ebből látszik, hogy mindössze egy egyszerű fizikai interakció elég, hogy irányításunk alá vonjunk más Samsung telefonját.


A hibát a Samsung megerősítette és már készítik a javítást.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)