Szerző: Gálffy Csaba

2013. március 22. 11:12

Súlyos biztonsági hibák a Samsung androidos eszközeiben

A többi gyártóhoz hasonlóan a Samsung is alaposan saját képére szabja az Androidot, a módosításokkal azonban néhány sebezhetőség is bekerült a mobilos rendszerbe. A hibát súlyosbítja, hogy a Samsung javítási folyamata nem átlátható, a frissítések kiadását pedig a szolgáltatók beleegyezéséhez köti.

Súlyos biztonsági hibákat hoztak az Android rendszerbe a Samsung saját módosításai - találta Roberto Paleari számítógépes biztonsági kutató. Paleari szerint a biztonsági rések roppant egyszerűen megtalálhatóak, némi programozói és biztonságtechnikai jártassággal könnyedén felfedezhetőek. A hibák részletei egyelőre nem nyilvánosak, mivel a Samsung még nem adta ki a megfelelő frissítéseket.

Lyukas a TouchWiz

A kutató szerint a Samsung-féle módosítások nyomán több súlyos sérülékenység is a rendszer részévé vált, így két külön hiba engedi meg a "jogosultságkiterjesztést", pontosabban egy jogosultság nélkül futó alkalmazás telepíthet egy másikat, amely már bármilyen jogosultsággal rendelkezhet. Egy további hiba megengedi, hogy támadó SMS-t küldjön, anélkül, hogy az alkalmazása erre jogosultságot kérne a rendszertől. Újabb hiba, hogy egy alkalmazás gyakorlatilag bármihez hozzáfér a felhasználó telefonján, indíthat hívásokat, küldhet emaileket, SMS-eket is akár. Néhány további hiba révén egy támadó a telefon bármely beállítását saját hatáskörben módosíthatja, a hálózati beállításokat és az adatkapcsolatot is beleértve - mindezt persze a felhasználó tudta és szándéka nélkül.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A kutató beszámolt a Samsunggal folytatott kommunikáció visszásságairól is. Paleari januárban értesítette a gyártót a biztonsági problémákról, illetve elküldte a hibák részletes leírását és az azokat kihasználni képes példakódot is. Az azóta eltelt két hónapban a Samsung nem jelzett vissza hivatalos úton, hogy megkezdte volna a hibák kijavítását, a bejelentés hivatalosan továbbra is "sebezhetőségek keresésének folyamatánál" tart. Február végén a gyártó kérte a biztonsági hibák nyilvánosságra hozásának késleltetését, mivel a frissítést minden szolgáltatópartnernek jóvá kell hagynia - ez esetenként akár hónapokig is elhúzódhat, főleg mivel számtalan készülék érintett.

02:58
 

Samsung Completely Disable Lockscreen

Még több videó

A képernyő nem zár

A Samsung-féle egyedi szoftverekkel kapcsolatban más is jelentett mostanában biztonsági hibát. Terence Eden március elején mutatta be, hogy hogyan kerülhető meg a Galaxy-sorozatú eszközök képernyőzárja. A TouchWiz néhány tizedmásodpercre felvillantja a rendszer főképernyőjét, ez elegendő lehet ahhoz, hogy a támadó elindítsa a Play Store-t, amelyből pedig telepíthető olyan alkalmazás, amely képes lekapcsolni a képernyőzárat, így a támadó teljes hozzáférést nyer a telefonhoz. Ez különösen vállalati felhasználók számára lehet kellemetlen, a képernyőzárat ugyanis jellemzően ilyen környzetben, házirenddel kényszerítik ki - egyes Galaxy eszközökön feleslegesen. A hiba nyilvánosságra hozását követően sikerült azt reprodukálni számos rendszeren, így Gingerbread és Jelly Bean-alapú készülékeken is, beleértve a roppant népszerű Galaxy Note 2 és S III modelleket is.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról