• Новая игровая клавиатура от Xiaomi стоит копейки (5 фото)

    Xiaomi начала производить довольно недорогую геймерскую клавиатуру. Она не только обладает всеми характеристиками, необходимыми для решения поставленных перед ней задач. Дизайн новинки необыкновенно смел. В компании понимают важность наличия светодиодной подсветки клавиш для некоторых геймеров. Так что китайский производитель уделил им ма...
    Читать дальше
  • Новый электромобиль-трансформер iEV X умеет растягиваться (7 фото + видео)

    В последние годы ряд компаний, производящих электромобили, активно работают над созданием одноместных моделей. Цель — максимальная манёвренность в условиях города. Но многие из них задумываются и о том, как должен выглядеть электромобиль со значительной вместимостью.
    Читать дальше
  • Android 9.0 получат даже ультрабюджетные смартфоны (2 фото)

    Интернет-гигант Google только на прошлой неделе анонсировал выход окончательной версии ОС Android 9 Pie, но уже сейчас разработчик оповестил о выпуске её упрощённого варианта — Android Pie Go Edition, предназначенного для смартфонов с ультрабюджетной «начинкой» (от 512 МБ/1 ГБ оперативной и 8/16 ГБ встроенной флеш-памяти).
    Читать дальше
  • Карта физики от блогера раскрыла все тонкости науки — от основ до устройства Вселенной (3 фото + видео)

    Физика — это большая и сложная научная область естествознания. Она касается практически всего, что существует не только на нашей родной планете Земля, но и во всей Вселенной. Понять её основы и тонкости не все люди в состоянии, а знания, полученные на школьных уроках, тоже далеко не каждый помнит и способен осознать. Поэтому блогер Домини...
    Читать дальше
  • Samsung ускорит выпуск складного смартфона из-за возросшей конкуренции

    Как уже давно известно, Samsung разрабатывает уникальный складной смартфон на протяжении как минимум пары лет. Первые слухи о нём появились ещё в 2016 году, но компания продолжает откладывать презентацию. После запуска Galaxy S9 в начале этого года, Samsung заявил, что выпустит уникальный смартфон, когда почувствует, что он окончательно г...
    Читать дальше

Обнаружена возможность обойти цифровую подпись в Android-приложениях

11 декабря 2017 | Android, Новости IT
Обнаружена возможность обойти цифровую подпись в Android-приложениях

Разработчики приложений, работающих на ОС Android, обязаны идентифицировать их при помощи цифровой подписи. Это условие, существовавшее с первой версии ОС, необходимо для защиты от несанкционированного авторами изменения APK-файлов. При установке обновления приложения происходит сравнение цифровых подписей на исходном приложении и его обновлении. GuardSquare, компания из Бельгии, работающая в области кибернетической безопасности, обнаружила возможность обойти систему контроля подписи.

В докладе GuardSquare указывается баг идентификатора CVE-2017-13156, получивший название «Janus». Используя эту опасную уязвимость, можно менять APK-файл и при этом не сменять цифровую подпись в приложении.

Обнаружена возможность обойти цифровую подпись в Android-приложениях

При нормальной работе идентификатора подписи после сличения цифровых подписей приложение компилируется в файл формата DEX (Dalvik EXecutable) и запускается на устройстве пользователя. Баг «Janus» позволяет интегрировать оригинальный APK с модифицированным исполняемым файлом DEX. После установки системой приложения запускается код из файла формата DEX. Таким образом, хакеры получат доступ к данным пользователя, либо возможность при последующих обновлениях установить изменённую злоумышленником версию приложения.

Данный баг позволяет злоумышленникам работать с оригинальными подписями, основанными на JAR (Android 5.0 и выше). Для Android 7.0 Nougat способ заменён APK Signature Scheme v2, защищенным от «Janus». О наличии такой уязвимости Google была оповещена 31 июля, однако исправлен баг только обновлением, вышедшим 5 декабря. Так что сейчас масштаб нависшей над пользователями проблемы значительно сокращён.

Источник: guardsquare.com
Понравился пост? Просоединяйтесь к нам в Facebook!

Написать комментарий


Включите эту картинку для отображения кода безопасности
обновить, если не виден код


Комментарии: 2

avatar
11 декабря 2017 12:15 Крот
Хотя бы закрыли, но что-то особо не торопились, как погляжу
+ 1
Ответить
avatar
11 декабря 2017 19:37 Ваше имя
Какая же ось дырявая!
+ 0
Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.