• Столкновение дрона и крыла самолёта запечатлели на видео

    Потребительские дроны достаточно быстро получили признание во всём мире. Эти удобные и полезные летательные приспособления помогают делать потрясающие видеосюжеты и фотографии, они стали незаменимыми помощниками не только любителям фото и видео, но и спасателям, пожарным, скорой помощи и прочим важным службам общества. Однако достаточно п...
    Читать дальше
  • Электробайк "Карманная ракета" для городов и пригородов (10 фото)

    Pocket Rocket нового поколения выглядит не так, как многие из последних электробайков. Возможно, именно поэтому компания выпускает его как совершенно новый класс лёгкого мотоцикла на электротяге.
    Читать дальше
  • Нож для вырезания самых сложных фигур (8 фото + видео)

    Perfect Cut — канцелярский ножик на стероидах. Он позволяет резать десятками способов: по кругу, под подходящим углом, ровно и так далее. Столь сложное изделие позволит любителям делать интересные модели из картона, бумаги, кожи или пенокартона. Например, косплеер без проблем создаст костюм для железного человека, а архитектор сделает зам...
    Читать дальше
  • Новый гаджет отыщет все скрытые камеры в доме (5 фото + видео)

    Современные камеры настолько малы, что запросто помещаются даже в пуговицах или шурупах. Но на всякий вид шпионажа должна иметься и своя методика борьбы. SpyFinder – новый гаджет, созданный как раз для этих целей.
    Читать дальше
  • AnTuTu представил TOP-10 самых мощных Android и iOS-устройств (4 фото)

    Традиционный рейтинг от ресурса AnTuTu представил самые мощные мобильные устройства за сентябрь 2018 года. Презентация новых моделей Apple привела к существенным изменениям в рейтингах для iOS-устройств, однако и в табели о рангах Android-устройств произошли значительные подвижки.
    Читать дальше

Обнаружена возможность обойти цифровую подпись в Android-приложениях

11 декабря 2017 | Android, Новости IT
Обнаружена возможность обойти цифровую подпись в Android-приложениях

Разработчики приложений, работающих на ОС Android, обязаны идентифицировать их при помощи цифровой подписи. Это условие, существовавшее с первой версии ОС, необходимо для защиты от несанкционированного авторами изменения APK-файлов. При установке обновления приложения происходит сравнение цифровых подписей на исходном приложении и его обновлении. GuardSquare, компания из Бельгии, работающая в области кибернетической безопасности, обнаружила возможность обойти систему контроля подписи.

В докладе GuardSquare указывается баг идентификатора CVE-2017-13156, получивший название «Janus». Используя эту опасную уязвимость, можно менять APK-файл и при этом не сменять цифровую подпись в приложении.

Обнаружена возможность обойти цифровую подпись в Android-приложениях

При нормальной работе идентификатора подписи после сличения цифровых подписей приложение компилируется в файл формата DEX (Dalvik EXecutable) и запускается на устройстве пользователя. Баг «Janus» позволяет интегрировать оригинальный APK с модифицированным исполняемым файлом DEX. После установки системой приложения запускается код из файла формата DEX. Таким образом, хакеры получат доступ к данным пользователя, либо возможность при последующих обновлениях установить изменённую злоумышленником версию приложения.

Данный баг позволяет злоумышленникам работать с оригинальными подписями, основанными на JAR (Android 5.0 и выше). Для Android 7.0 Nougat способ заменён APK Signature Scheme v2, защищенным от «Janus». О наличии такой уязвимости Google была оповещена 31 июля, однако исправлен баг только обновлением, вышедшим 5 декабря. Так что сейчас масштаб нависшей над пользователями проблемы значительно сокращён.

Источник: guardsquare.com
Понравился пост? Просоединяйтесь к нам в Facebook!

Написать комментарий


Включите эту картинку для отображения кода безопасности
обновить, если не виден код


Комментарии: 2

avatar
11 декабря 2017 12:15 Крот
Хотя бы закрыли, но что-то особо не торопились, как погляжу
+ 1
Ответить
avatar
11 декабря 2017 19:37 Ваше имя
Какая же ось дырявая!
+ 0
Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.