• Вместо тысяч датчиков одна дешёвая камера — роботов научили чувствовать пальцами

    Разработчики из Лондонского университета королевы Марии представили мягкий тактильный сенсор, который позволяет роботам фактически видеть прикосновение: давление и деформация внутренней поверхности мягкой оконечности датчика сразу превращаются в цветовую картину, считываемую обычной камерой. Так без сложных алгоритмов робот моментально по...
    Читать дальше
  • Godox представила необычную камеру C100 с прозрачным видоискателем

    В новой модели компания отказалась от привычного заднего экрана: вместо него используется прозрачное «окно» с интерфейсом поверх кадра. Камера рассчитана на простую фото- и видеосъёмку и стоит всего 29 долларов.
    Читать дальше
  • Gobao выпустила АКБ для велосипедов с зарядкой до 80% за полчаса (4 фото)

    Компания Gobao представила несколько новых решений для любителей электровелосипедов. Самыми интересными стали аккумуляторы с поддержкой сверхбыстрой зарядки. В серию вошли модели ёмкостью 500, 750 и 900 Втч.
    Читать дальше
  • Крупнейший в мире сверхмагнит прошёл первые тесты (3 фото)

    В Китае завершились испытания крупнейшей в мире сверхпроводящей магнитной системы, предназначенной для будущих термоядерных реакторов. Фактически это открывает путь к созданию установок для удерживания сверхгорячей плазмы и выработке почти неисчерпаемой чистой энергии.
    Читать дальше
  • Sony разрабатывала геймпад DualShock со встроенной первой PlayStation, но проект отменили (3 фото + видео)

    Бывший разработчик Sony показал прототип игровой консоли PlayStation Puga, которая так и не вышла на рынок. Устройство выглядит как геймпад DualShock, но при этом внутри корпуса размещены аппаратные компоненты, необходимые для запуска игр PlayStation 1 без подключения к отдельной консоли.
    Читать дальше

Обнаружена возможность обойти цифровую подпись в Android-приложениях

11 декабря 2017 | Просмотров: 19 145 | Android / Новости IT
Обнаружена возможность обойти цифровую подпись в Android-приложениях

Разработчики приложений, работающих на ОС Android, обязаны идентифицировать их при помощи цифровой подписи. Это условие, существовавшее с первой версии ОС, необходимо для защиты от несанкционированного авторами изменения APK-файлов. При установке обновления приложения происходит сравнение цифровых подписей на исходном приложении и его обновлении. GuardSquare, компания из Бельгии, работающая в области кибернетической безопасности, обнаружила возможность обойти систему контроля подписи.

В докладе GuardSquare указывается баг идентификатора CVE-2017-13156, получивший название «Janus». Используя эту опасную уязвимость, можно менять APK-файл и при этом не сменять цифровую подпись в приложении.

Обнаружена возможность обойти цифровую подпись в Android-приложениях

При нормальной работе идентификатора подписи после сличения цифровых подписей приложение компилируется в файл формата DEX (Dalvik EXecutable) и запускается на устройстве пользователя. Баг «Janus» позволяет интегрировать оригинальный APK с модифицированным исполняемым файлом DEX. После установки системой приложения запускается код из файла формата DEX. Таким образом, хакеры получат доступ к данным пользователя, либо возможность при последующих обновлениях установить изменённую злоумышленником версию приложения.

Данный баг позволяет злоумышленникам работать с оригинальными подписями, основанными на JAR (Android 5.0 и выше). Для Android 7.0 Nougat способ заменён APK Signature Scheme v2, защищенным от «Janus». О наличии такой уязвимости Google была оповещена 31 июля, однако исправлен баг только обновлением, вышедшим 5 декабря. Так что сейчас масштаб нависшей над пользователями проблемы значительно сокращён.

Источник: guardsquare.com

Комментарии: 2

  1. Крот
    11 декабря 2017 12:15 Крот
    Хотя бы закрыли, но что-то особо не торопились, как погляжу
    + 1
    Ответить
  2. Ваше имя
    11 декабря 2017 19:37 Ваше имя
    Какая же ось дырявая!
    + 0
    Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.