Szerző: Gálffy Csaba

2013. március 22. 11:12

Súlyos biztonsági hibák a Samsung androidos eszközeiben

A többi gyártóhoz hasonlóan a Samsung is alaposan saját képére szabja az Androidot, a módosításokkal azonban néhány sebezhetőség is bekerült a mobilos rendszerbe. A hibát súlyosbítja, hogy a Samsung javítási folyamata nem átlátható, a frissítések kiadását pedig a szolgáltatók beleegyezéséhez köti.

Súlyos biztonsági hibákat hoztak az Android rendszerbe a Samsung saját módosításai - találta Roberto Paleari számítógépes biztonsági kutató. Paleari szerint a biztonsági rések roppant egyszerűen megtalálhatóak, némi programozói és biztonságtechnikai jártassággal könnyedén felfedezhetőek. A hibák részletei egyelőre nem nyilvánosak, mivel a Samsung még nem adta ki a megfelelő frissítéseket.

Lyukas a TouchWiz

A kutató szerint a Samsung-féle módosítások nyomán több súlyos sérülékenység is a rendszer részévé vált, így két külön hiba engedi meg a "jogosultságkiterjesztést", pontosabban egy jogosultság nélkül futó alkalmazás telepíthet egy másikat, amely már bármilyen jogosultsággal rendelkezhet. Egy további hiba megengedi, hogy támadó SMS-t küldjön, anélkül, hogy az alkalmazása erre jogosultságot kérne a rendszertől. Újabb hiba, hogy egy alkalmazás gyakorlatilag bármihez hozzáfér a felhasználó telefonján, indíthat hívásokat, küldhet emaileket, SMS-eket is akár. Néhány további hiba révén egy támadó a telefon bármely beállítását saját hatáskörben módosíthatja, a hálózati beállításokat és az adatkapcsolatot is beleértve - mindezt persze a felhasználó tudta és szándéka nélkül.

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

A kutató beszámolt a Samsunggal folytatott kommunikáció visszásságairól is. Paleari januárban értesítette a gyártót a biztonsági problémákról, illetve elküldte a hibák részletes leírását és az azokat kihasználni képes példakódot is. Az azóta eltelt két hónapban a Samsung nem jelzett vissza hivatalos úton, hogy megkezdte volna a hibák kijavítását, a bejelentés hivatalosan továbbra is "sebezhetőségek keresésének folyamatánál" tart. Február végén a gyártó kérte a biztonsági hibák nyilvánosságra hozásának késleltetését, mivel a frissítést minden szolgáltatópartnernek jóvá kell hagynia - ez esetenként akár hónapokig is elhúzódhat, főleg mivel számtalan készülék érintett.

02:58
 

Samsung Completely Disable Lockscreen

Még több videó

A képernyő nem zár

A Samsung-féle egyedi szoftverekkel kapcsolatban más is jelentett mostanában biztonsági hibát. Terence Eden március elején mutatta be, hogy hogyan kerülhető meg a Galaxy-sorozatú eszközök képernyőzárja. A TouchWiz néhány tizedmásodpercre felvillantja a rendszer főképernyőjét, ez elegendő lehet ahhoz, hogy a támadó elindítsa a Play Store-t, amelyből pedig telepíthető olyan alkalmazás, amely képes lekapcsolni a képernyőzárat, így a támadó teljes hozzáférést nyer a telefonhoz. Ez különösen vállalati felhasználók számára lehet kellemetlen, a képernyőzárat ugyanis jellemzően ilyen környzetben, házirenddel kényszerítik ki - egyes Galaxy eszközökön feleslegesen. A hiba nyilvánosságra hozását követően sikerült azt reprodukálni számos rendszeren, így Gingerbread és Jelly Bean-alapú készülékeken is, beleértve a roppant népszerű Galaxy Note 2 és S III modelleket is.

Előfizetési lehetőség a NetAcademia és a Training360 mind a 600 online tanfolyamára 1 éven át 1 tanfolyam áráért. Siess, ez az őrült ajánlat csak október 31-ig él!

a címlapról