• Роботы вытеснят мужчин из постели (3 фото)

    Realbotix, американский производитель секс-роботов для мужчин, решил выпустить аналогичную игрушку и для женщин. Представители компании уверены, что новое изделие будет пользоваться большой популярностью, так как в отличие от бездушных вибраторов обладает искусственным интеллектом, может запоминать привычки партнерши, поддерживать разгово...
    Читать дальше
  • Опять гигантские очереди! На это раз за кроссовками Adidas (7 фото + видео)

    Невероятные очереди выстраиваются каждый год за очередной новинкой от Apple. Люди уже привыкли к этому, а некоторые даже превратили такие покупки гаджетов в ритуал. Однако мотивирует покупателей на подобные подвиги с ожиданием в несколько дней не только «яблочная» компания. Не так давно в немецких магазинах люди стояли более суток за ново...
    Читать дальше
  • «Умные стекла» заменят отопление

    Всеобщая тенденция экономии энергоресурсов и внедрение энергоэффективных технологий, использующих возобновляемые источники энергии, коснулась и строительных материалов. В Йенском университете имени Фридриха Шиллера (Германия) разработана методика, позволяющая использовать оконные стекла с изменяемым коэффициентом затемнения для обогрева п...
    Читать дальше
  • Современным ТВ-панелям больше не нужны пульты ДУ (3 фото)

    СМИ опубликовали интересное исследование по следам выставки CES 2018. Одним из ведущих трендов мероприятия оказалось применение в ТВ-панелях искусственного интеллекта. У каждого производителя свой взгляд на роль этой технологии в сфере телевидения, а потому перспектива взаимоотношений с «ящиком» вырисовывается довольно любопытная.
    Читать дальше
  • Первый в мире смартфон со сканером отпечатков в дисплее появится в январе (5 фото)

    Китайской компании Vivo удалось первой в мире продемонстрировать смартфон со встроенным в экран сканером отпечатков пальцев, но подробности об аппарате разглашены не были, и это заставило некоторых пользователей усомниться в подлинности существования полностью законченного мобильного устройства, уже готового к массовому производству. Тем ...
    Читать дальше

Обнаружена возможность обойти цифровую подпись в Android-приложениях

11 декабря 2017 | Android, Новости IT
Обнаружена возможность обойти цифровую подпись в Android-приложениях

Разработчики приложений, работающих на ОС Android, обязаны идентифицировать их при помощи цифровой подписи. Это условие, существовавшее с первой версии ОС, необходимо для защиты от несанкционированного авторами изменения APK-файлов. При установке обновления приложения происходит сравнение цифровых подписей на исходном приложении и его обновлении. GuardSquare, компания из Бельгии, работающая в области кибернетической безопасности, обнаружила возможность обойти систему контроля подписи.

В докладе GuardSquare указывается баг идентификатора CVE-2017-13156, получивший название «Janus». Используя эту опасную уязвимость, можно менять APK-файл и при этом не сменять цифровую подпись в приложении.

Обнаружена возможность обойти цифровую подпись в Android-приложениях

При нормальной работе идентификатора подписи после сличения цифровых подписей приложение компилируется в файл формата DEX (Dalvik EXecutable) и запускается на устройстве пользователя. Баг «Janus» позволяет интегрировать оригинальный APK с модифицированным исполняемым файлом DEX. После установки системой приложения запускается код из файла формата DEX. Таким образом, хакеры получат доступ к данным пользователя, либо возможность при последующих обновлениях установить изменённую злоумышленником версию приложения.

Данный баг позволяет злоумышленникам работать с оригинальными подписями, основанными на JAR (Android 5.0 и выше). Для Android 7.0 Nougat способ заменён APK Signature Scheme v2, защищенным от «Janus». О наличии такой уязвимости Google была оповещена 31 июля, однако исправлен баг только обновлением, вышедшим 5 декабря. Так что сейчас масштаб нависшей над пользователями проблемы значительно сокращён.

Источник: guardsquare.com
Понравился пост? Просоединяйтесь к нам в Facebook!

Написать комментарий


Включите эту картинку для отображения кода безопасности
обновить, если не виден код


Комментарии: 2

avatar
11 декабря 2017 12:15 Крот
Хотя бы закрыли, но что-то особо не торопились, как погляжу
+ 1
Ответить
avatar
11 декабря 2017 19:37 Ваше имя
Какая же ось дырявая!
+ 1
Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.