• Криптовалютный миллионер создал костюм суперзлодея (7 фото + видео)

    19 летний Эрик Финман, состояние которого оценивают в 3.3 млн долларов США, сконструировал костюм одного злодея из комиксов о "Человеке-пауке".
    Читать дальше
  • Mylo — складной трехколесный электровелосипед (13 фото + видео)

    В условиях современного города перемещаться между работой и домом на автомобиле становится зачастую гораздо тяжелее, нежели пользоваться общественным транспортом. Но и последний вариант приятен и удобен далеко не для каждого. Этой проблемой занялись в китайской компании Pim Bicycles, производящей складные электрические велосипеды. Фирма п...
    Читать дальше
  • iOS 11.4 забирает у iPhone и iPad самое необходимое (3 фото)

    Выяснилось, что пользователи iPhone одновременно с появлением ряда новых функций из обновления iOS 11.4 получили весьма существенную и серьёзную проблему. Более тысячи пользователей в форумах поддержки Apple пожаловались на то, что их планшеты и смартфоны, будь то iPhone 6, iPhone 7, iPhone 8 или iPhone X, начали быстро разряжаться после ...
    Читать дальше
  • AnTuTu составил ТОП-10 самых мощных смартфонов мая (2 фото)

    Бенчмарк для мобильных устройств AnTuTu опубликовал майский ТОП-10 самых производительных смартфонов. В сравнении с рейтингом за апрель, имеются изменения поскольку прошлый месяц был богат на премьеры.
    Читать дальше
  • LG и Samsung откажутся от динамиков в смартфонах

    На проходившей недавно выставке Display Week корпорация Samsung представила прототип дисплея, способного передавать звуки вибрациями. Благодаря этой технологии можно обойтись без стандартного разговорного динамика. В Корее считают, что производитель продемонстрирует коммерческий вариант разработки уже в начале грядущего года. Не останется...
    Читать дальше

Обнаружена возможность обойти цифровую подпись в Android-приложениях

11 декабря 2017 | Android, Новости IT
Обнаружена возможность обойти цифровую подпись в Android-приложениях

Разработчики приложений, работающих на ОС Android, обязаны идентифицировать их при помощи цифровой подписи. Это условие, существовавшее с первой версии ОС, необходимо для защиты от несанкционированного авторами изменения APK-файлов. При установке обновления приложения происходит сравнение цифровых подписей на исходном приложении и его обновлении. GuardSquare, компания из Бельгии, работающая в области кибернетической безопасности, обнаружила возможность обойти систему контроля подписи.

В докладе GuardSquare указывается баг идентификатора CVE-2017-13156, получивший название «Janus». Используя эту опасную уязвимость, можно менять APK-файл и при этом не сменять цифровую подпись в приложении.

Обнаружена возможность обойти цифровую подпись в Android-приложениях

При нормальной работе идентификатора подписи после сличения цифровых подписей приложение компилируется в файл формата DEX (Dalvik EXecutable) и запускается на устройстве пользователя. Баг «Janus» позволяет интегрировать оригинальный APK с модифицированным исполняемым файлом DEX. После установки системой приложения запускается код из файла формата DEX. Таким образом, хакеры получат доступ к данным пользователя, либо возможность при последующих обновлениях установить изменённую злоумышленником версию приложения.

Данный баг позволяет злоумышленникам работать с оригинальными подписями, основанными на JAR (Android 5.0 и выше). Для Android 7.0 Nougat способ заменён APK Signature Scheme v2, защищенным от «Janus». О наличии такой уязвимости Google была оповещена 31 июля, однако исправлен баг только обновлением, вышедшим 5 декабря. Так что сейчас масштаб нависшей над пользователями проблемы значительно сокращён.

Источник: guardsquare.com
Понравился пост? Просоединяйтесь к нам в Facebook!

Написать комментарий


Включите эту картинку для отображения кода безопасности
обновить, если не виден код


Комментарии: 2

avatar
11 декабря 2017 12:15 Крот
Хотя бы закрыли, но что-то особо не торопились, как погляжу
+ 1
Ответить
avatar
11 декабря 2017 19:37 Ваше имя
Какая же ось дырявая!
+ 0
Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.