Szerző: Hlács Ferenc

2016. október 17. 11:37:00

Rút hibát találtak a Foxconn androidos telefonjaiban

Root jogosultságot biztosító sebezhetőség bukkant fel a Foxconn által gyártott egyes androidos készülékekben. A hiba USB-n keresztül használható ki, arra a bűnözők mellett a törvényszéki szakértők is lecsaphatnak.

Ismét kritikus sebezhetőség fenyeget egyes androidos eszközöket, ezúttal a Foxconn gyártósorairól lekerült telefonokban bukkant fel akár root hozzáférést is lehetővé tevő biztonsági rés. A frissen felfedezett sérülékenységről Jon Sawyer biztonsági szakértő blogposztban számolt be, a hibát kihasználva az érintett készülékeken akár root jogosultság is szerezhető.

A "Pork Explosion" névre keresztelt sebezhetőség által jelentett veszélyt némileg enyhíti, hogy annak kiaknázásához a támadóknak fizikailag is hozzá kell férniük a kiszemelt eszközhöz, amelyet USB kapcsolaton keresztül vehetnek ostrom alá - a The Register által idézett Sawyer ugyanakkor ezzel együtt "komoly hanyagságról" beszél a Foxconn részéről. A sebezhetőség egy a gyártó bootloader-kódjában felejtett, debugging függvény eredménye, amelynek segítségével megkerülhető a SELinux Android biztonsági réteg, és teljes, root hozzáférés szerezhető a megcélzott telefonon, a felhasználó bármilyen azonosítása nélkül.

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

Miután kihasználásához aránylag hosszú ideig tartó fizikai hozzáférésre van szükség a készülékhez, nem is feltétlenül csak a bűnözők, de akár törvényszéki szakértők számára is hasznosnak bizonyulhat, akik segítségével értékes adatokat is szerezhetnek a gyanúsítottak telefonjáról - de a módszer a titkosítási kulcsok kinyeréséhez vagy a bootloader megnyitásához is bevethető, anélkül, hogy a felhasználói adatok sérülnének.

A biztonsági rés többek között a tavaly Kickstarteren elhíresült Nextbit Robin okostelefont érintette, legalábbis felfedezésekor, a készülék fejlesztőcsapata ugyanis nagyjából két hónap alatt befoltozta a hibát az eszközön. A sérülékenység a Nextbit mellett az InFocus vállalat egyes okostelefonjaiban is megtalálható - a javítás itt még várat magára - a szakértő szerint azonban valószínűleg még számos egyéb cég logóját viselő készülékekben is ott van. Sawyer a hiba kapcsán még augusztusban kapcsolatba lépett a Google androidos biztonsági csapatával, és arra kérte őket, gyakoroljanak nyomást a Foxconnra annak kijavítására.

a címlapról

Hirdetés

Python everywhere!

2020. február 24. 17:03

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.

Aggasztó adatok?

6

Elvan a gyerek, ha mobilozik

2020. február 24. 09:46

Aggódnak érte, mégis engedik a hazai fiatal felnőtt szülők gyerekeinek az okoseszköz-használatot.