18 543
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
https://lh6.googleusercontent.com/-RVa8zbdUrQo/UUrUqgSoJrI/AAAAAAAAD7I/YX5RiDHdK1Q/s800/samsung-galaxy-s-iii-security-exploit.jpg

Sérülékenységek a Samsung androidos termékeiben

Csiszár Marcell2013.03.21. 10.50
https://lh6.googleusercontent.com/-RVa8zbdUrQo/UUrUqgSoJrI/AAAAAAAAD7I/YX5RiDHdK1Q/s800/samsung-galaxy-s-iii-security-exploit.jpgKedden a független olasz kutató, Roberto Paleari egy blogbejegyzésében fejtette ki, hogy meglehetősen sok sebezhetőséget talált a Samsung androidos eszközeiben. Paleari állítása szerint miután jelentős időt töltött el néhány termékkel, 6 darab sérülékenységet fedezett fel a régebbi Galaxy Tab eszköztől kezdve a Galaxy S3-ig bezárólag. Mind a hat hiba jogosultság nélkül kijátszható köszönhetően a Samsung saját szoftvereinek és testreszabásainak.

Paleari elmondta, hogy sikerült alkalmazást csöndben, a felhasználó számára észrevétlenül telepítenie egy másik segítségével, megfelelő hozzáférés és felhasználói interakció nélkül. A biztonsági rés egyaránt érinti a Galaxy Tabot és S3-at is.

Proof of Concept:


A blogbejegyzésben még szó kerül arról a sebezhetőségről, aminek segítségével a támadó szinte bármilyen folyamatot kezdeményezhet az áldozat telefonján, legyen az például telefonhívás, vagy éppen SMS küldés, úgyszintén erre való jogosultság nélkül. Legvégül az utolsó sebezhetőség segítségével az áldozat telefonjának beállításai módosíthatóak jogtalanul - beleértve az internet és hálózati beállításokat is.

A blogger állítása szerint már július-augusztus táján értesítette a Samsungot, de a javítás kiadásáról azóta sem hallott. Február 20-án a Samsung kapcsolatba lépett a szakértővel, akinek közölték, hogy a hibák publikálását halassza későbbre - védekezett a vállalat - mert állításuk szerint a javításokat a kiadások előtt a szolgáltatóknak jóvá kell hagyniuk.

A szolgáltatók nem először kerülnek “a figyelem középpontjába”, mert meglehetősen késve adják ki biztonsági foltokat. Kifogásolják viszont a frissítéseket, mivel számukra erőforrás igényes folyamat, illetve a fogyasztók úgy is hamar váltanak a következő generációra, nem törődve a frissítésekkel. Februárban a HTC America az USA Szövetségi Kereskedelmi Bizottságával megegyezést kötött, hogy megreformálják a biztonsági részlegüket, mivel sok szemrehányást kaptak a kevés biztonsági folt kiadása és a fejlesztések gyenge biztonságosságai miatt.

A Samsung hatalmas piaci részesedése miatt a biztonsági kutatások terén is “népszerűségre” tett szert

A hónap elején Terence Eden egy érdekes biztonsági résre hívta fel a figyelmet. A támadási lehetőség a legfrissebb vagyis 4.1.2 alatt is tesztelt és alkalmazható. Röviden: a támadó számára megengedi, hogy blokkolja a záróképernyőt és hozzáférjen bármelyik alkalmazáshoz. Kihasználáshoz a telefon emergency call funkcióját kell alkalmazni, majd hamis szám tárcsázásával a Google Play piactérhez lehet hozzáférni. A hamis szám tárcsázása után egy pillanatra felvillan a kezdőképernyő, ami lehetőséget biztosít Google Play elindításához. A szoftverboltban pedig temérdek alkalmazást találunk amelyek képesek a záróképernyőt kiiktatni, így teljes hozzáférést biztosítva az áldozat telefonjához. Ebből látszik, hogy mindössze egy egyszerű fizikai interakció elég, hogy irányításunk alá vonjunk más Samsung telefonját.


A hibát a Samsung megerősítette és már készítik a javítást.
Kattints ide  ➜

Bemutatkozott az LG G6
Idén is érdekes témákkal foglalkozik a SMART 2017 konferencia
Megérkezett a Honor V9
Blackview P2 okostelefon – Ipari méretű akkumulátorral
Nokia 3310 (2017) – Evleaks szerint igaz az Androbit spekulációja
Négyütemű motort alakítottak át hidrogéntermelésre
Felkapott témák
Exkluzív információk a nemzeti operációs rendszerről
Nokia 3310 (2017) – Evleaks szerint igaz az Androbit spekulációja
Kiderült, hogy mi lesz az Android 8.0 neve
PC-t varázsol a telefonunkból a Remix Singularity
Újabb fotók szivárogtak ki a Samsung Galaxy S8-ról
A felhasználókat már nem érdeklik a Google fejlesztései
Állásajánlatok
Minőségügyi mérnök - vevői kapcsolattartó
Alkalmazás - paraméterező
Szoftverfejlesztő
Air Trafic Controller
Szerkesztőgrafikus/Marketing Asszisztens
Minőségbiztosítási mérnök Referenciaszám: PJ5311
Junior termékelemző munkatárs