Szerző: Hlács Ferenc

2016. október 17. 11:37

Rút hibát találtak a Foxconn androidos telefonjaiban

Root jogosultságot biztosító sebezhetőség bukkant fel a Foxconn által gyártott egyes androidos készülékekben. A hiba USB-n keresztül használható ki, arra a bűnözők mellett a törvényszéki szakértők is lecsaphatnak.

Ismét kritikus sebezhetőség fenyeget egyes androidos eszközöket, ezúttal a Foxconn gyártósorairól lekerült telefonokban bukkant fel akár root hozzáférést is lehetővé tevő biztonsági rés. A frissen felfedezett sérülékenységről Jon Sawyer biztonsági szakértő blogposztban számolt be, a hibát kihasználva az érintett készülékeken akár root jogosultság is szerezhető.

A "Pork Explosion" névre keresztelt sebezhetőség által jelentett veszélyt némileg enyhíti, hogy annak kiaknázásához a támadóknak fizikailag is hozzá kell férniük a kiszemelt eszközhöz, amelyet USB kapcsolaton keresztül vehetnek ostrom alá - a The Register által idézett Sawyer ugyanakkor ezzel együtt "komoly hanyagságról" beszél a Foxconn részéről. A sebezhetőség egy a gyártó bootloader-kódjában felejtett, debugging függvény eredménye, amelynek segítségével megkerülhető a SELinux Android biztonsági réteg, és teljes, root hozzáférés szerezhető a megcélzott telefonon, a felhasználó bármilyen azonosítása nélkül.

Alapozó Go fejlesztői képzést indítunk (x)

November 9-én 10 alkalmas, 30 órás, online formátumú Go képzést indít a HWSW.

Alapozó Go fejlesztői képzést indítunk (x) November 9-én 10 alkalmas, 30 órás, online formátumú Go képzést indít a HWSW.

Miután kihasználásához aránylag hosszú ideig tartó fizikai hozzáférésre van szükség a készülékhez, nem is feltétlenül csak a bűnözők, de akár törvényszéki szakértők számára is hasznosnak bizonyulhat, akik segítségével értékes adatokat is szerezhetnek a gyanúsítottak telefonjáról - de a módszer a titkosítási kulcsok kinyeréséhez vagy a bootloader megnyitásához is bevethető, anélkül, hogy a felhasználói adatok sérülnének.

A biztonsági rés többek között a tavaly Kickstarteren elhíresült Nextbit Robin okostelefont érintette, legalábbis felfedezésekor, a készülék fejlesztőcsapata ugyanis nagyjából két hónap alatt befoltozta a hibát az eszközön. A sérülékenység a Nextbit mellett az InFocus vállalat egyes okostelefonjaiban is megtalálható - a javítás itt még várat magára - a szakértő szerint azonban valószínűleg még számos egyéb cég logóját viselő készülékekben is ott van. Sawyer a hiba kapcsán még augusztusban kapcsolatba lépett a Google androidos biztonsági csapatával, és arra kérte őket, gyakoroljanak nyomást a Foxconnra annak kijavítására.

A HackerRank 2020-as, 116.000 fejlesztő válaszaiból készült kutatása szerint a legtöbbjük a Go-t szeretné megtanulni következőleg, amely eredménynek az okait most ebben a cikkben szedtük össze.

a címlapról