• Подсчитана себестоимость смартфона iPhone 16

    Аналитики компании TD Cowen посчитали стоимость всех комплектующих новых iPhone 16-й серии. И хотя цены на смартфоны для пользователей никак не изменились по сравнению с прошлогодними моделями, их производство для Apple обходится дороже.
    Читать дальше
  • Более 10 000 квадрокоптеров превратили в летающий 3D-экран (видео)

    1 октября в Китае отмечали День образования. В честь этого события в Шэньчжэне организовали амбициозное по своим масштабам мероприятие — одновременный запуск свыше 10 000 квадрокоптеров, образующих вместе гигантский парящий экран.
    Читать дальше
  • Прототип Apple Macintosh с дисководом 5,25” выставлен на аукцион — таких существует всего два (3 фото)

    Согласно легенде, Стив Джобс приказал уничтожить первые прототипы компьютеров Apple Macintosh с 5,25” дисководами, у которых было слишком много ошибок чтения. Но два экземпляра удалось сохранить и один из них вскоре станет предметом торга на аукционе. В 2019 году прототип M0001 уже был продан за $150 075, что стало рекордом того времени д...
    Читать дальше
  • Представлено умное кольцо Oura Ring 4 — больше титана, выше точность, лучше автономность

    Компания Oura анонсировала умное кольцо Ring 4. По сравнению с моделью прошлого поколения новинка стала тоньше, а качество измерения показателей здоровья повысилось. Производитель будет поставлять Ring 4 в большем количестве размеров, а также обновит фирменное приложение-компаньона, чтобы его интерфейс стал удобнее.
    Читать дальше
  • Создан самый мощный в мире резистивный магнит

    В Китае разработали самый сильный в мире резистивный магнит, способный создавать постоянное магнитное поле на уровне 42 Тесла (Тл). Это в 800 000 раз сильнее магнитного поля Земли. Рекорд принадлежит сотрудникам Лаборатории института физических наук при Академии наук Китая (CHMFL).
    Читать дальше

Обнаружена возможность обойти цифровую подпись в Android-приложениях

11 декабря 2017 | Просмотров: 17 043 | Android / Новости IT
Обнаружена возможность обойти цифровую подпись в Android-приложениях

Разработчики приложений, работающих на ОС Android, обязаны идентифицировать их при помощи цифровой подписи. Это условие, существовавшее с первой версии ОС, необходимо для защиты от несанкционированного авторами изменения APK-файлов. При установке обновления приложения происходит сравнение цифровых подписей на исходном приложении и его обновлении. GuardSquare, компания из Бельгии, работающая в области кибернетической безопасности, обнаружила возможность обойти систему контроля подписи.

В докладе GuardSquare указывается баг идентификатора CVE-2017-13156, получивший название «Janus». Используя эту опасную уязвимость, можно менять APK-файл и при этом не сменять цифровую подпись в приложении.

Обнаружена возможность обойти цифровую подпись в Android-приложениях

При нормальной работе идентификатора подписи после сличения цифровых подписей приложение компилируется в файл формата DEX (Dalvik EXecutable) и запускается на устройстве пользователя. Баг «Janus» позволяет интегрировать оригинальный APK с модифицированным исполняемым файлом DEX. После установки системой приложения запускается код из файла формата DEX. Таким образом, хакеры получат доступ к данным пользователя, либо возможность при последующих обновлениях установить изменённую злоумышленником версию приложения.

Данный баг позволяет злоумышленникам работать с оригинальными подписями, основанными на JAR (Android 5.0 и выше). Для Android 7.0 Nougat способ заменён APK Signature Scheme v2, защищенным от «Janus». О наличии такой уязвимости Google была оповещена 31 июля, однако исправлен баг только обновлением, вышедшим 5 декабря. Так что сейчас масштаб нависшей над пользователями проблемы значительно сокращён.

Источник: guardsquare.com


Комментарии: 2

  1. Крот
    11 декабря 2017 12:15 Крот
    Хотя бы закрыли, но что-то особо не торопились, как погляжу
    + 1
    Ответить
  2. Ваше имя
    11 декабря 2017 19:37 Ваше имя
    Какая же ось дырявая!
    + 0
    Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.