Szerző: Bodnár Ádám

2012. november 5. 14:40

SMS sérülékenységet találtak az Androidban

A North Carolina Egyetem biztonsági kutatója olyan sebezhetőséget fedezett fel az Androidban, amelyet kihasználva egy program tetszőleges tartalmú SMS-t "küldhet" a felhasználónak.

A múlt hét végén érdekes sérülékenységre bukkant az Androidban a North Carolina Egyetem informatikai tanszékének egyik professzora. A Xuxian Jiang által bemutatott biztonsági rés lehetővé teszi tetszőleges alkalmazás számára, hogy a tárcsázó vagy az üzenetkezelőhöz való hozzáférés jogosultsága nélkül "küldjön" SMS-t az áldozat készülékére, amelyet aztán például adathalász támadásokhoz lehet használni.

A professzor már értesítette a Google-t és nem is hozta nyilvánosságra a sérülékenység legfontosabb részleteit, nehogy kártékony kezekbe kerülve valódi támadásokhoz használják fel azt. A Google biztonsági csapata két nappal az értesítés után megerősítette a sebezhetőség létezését, így hamarosan megjelenhet annak javítása is. "A felelősségteljes publikáció jegyében nem hozzuk nyilvánosságra a sérülékenység részleteit addig, amíg meg nem érkezett a végső javítás. Ugyanakkor szeretnénk tájékoztatni a nyilvánosságot a potenciális veszélyről, ezért is hoztuk létre ezt a weboldalt" - áll Jiang oldalán, ahol a sérülékenységet kihasználó kódot is meg lehet tekinteni működés közben.

03:16
 

SMS Phishing (SMiShing) Vuln. Demo in Android

Még több videó

A hibát kihasználva olyan programok hozhatók létre, amelyek egy tetszőleges feladótól érkező és tetszőleges tartalmú SMS-t "küldenek" a felhasználónak. Az üzenet nem a mobilhálózaton érkezik, hanem a készüléken belül, a szoftverben keletkezik, a szöveget és a feladót a kód tartalmazhatja vagy generálja, de akár ki is olvashatja a címjegyzékből és például valamelyik ismerősünktől vagy a bankunktól érkező üzenetet hamisíthat. Ezt "smishing", vagyis SMS-alapú adathalász támadásokhoz lehet felhasználni.

Éles a modern webfejlesztés és CI/CD meetupjaink programja!

December 29-30-án folyatódik a HWSW online meetup-sorozata.

Éles a modern webfejlesztés és CI/CD meetupjaink programja! December 29-30-án folyatódik a HWSW online meetup-sorozata.

Az ismerősöktől érkező emailek hitelességét meg lehet és meg is kell kérdőjelezni, ha a tartalmuk szokatlan, de egy ismert feladótól származó SMS tartalmát valószínűleg kevesen ellenőriznék és örömmel kattintanának rá egy linkre, amely például a banktól érkezett és nyereményjátékot hirdet vagy nyereménnyel kecsegtet. Egy ilyen link mögé rejtett adathalász oldal valószínűleg keveseknek szúrna szemet, de természetesen másféle támadások is elképzelhetők a sérülékenységet használva.

A kérdéses sebezhetőség az Android nyílt forrású közösségi változatában, az Android Open Source Project keretében közzétett verzióban is megtalálható és az arra épülő gyártói implementációk is nagy valószínűséggel tartalmazzák azt - a kutatók számos különféle szoftververzión és telefonon, a Google saját Nexus készülékei mellett Samsung és HTC modelleken is reprodukálni tudták a hibát, sőt, még egy korai Google fejlesztői telefonon is működött az exploit, ami azt jelenti, hogy a sérülékenység az Android 1.6-os verziójában is jelen volt már.

A Beckhoff ultrakompakt, C6025 típusú ipari PC az Intel Core i processzorcsalád nagy számítási teljesítményével rendelkezik, ventilátor nélküli, kisméretű kivitelben. A rendkívül alacsony fogyasztású, új Intel Core i U processzorok teszik mindezt lehetővé.

a címlapról

Hirdetés

Csúcstechnológia pár koppintással: ezt tudja a Huawei nova 9

2021. november 28. 22:31

Manapság egyre-másra jelennek meg olyan új mobilok, amelyek hihetetlen funkciókat ígérnek, de ezeket szinte műszaki diplomával lehet csak előcsalogatni. A HUAWEI nova 9 igazi ereje abban rejlik, milyen egyszerű előcsalogatni a mobil tudását.