Сотрудник Google рассказал об опасности сторонних оболочек для Android

Александр



Производители редко устанавливают на смартфоны Android в чистом виде. Почти все бренды стараются модифицировать операционную систему под свои нужды, а для этого не только меняют её интерфейс и добавляют различные фирменные приложения, но и лезут в код ядра. Специалист Google Project Zero Янн Хорн изучил несколько сторонних оболочек Android и пришёл к выводу, что они небезопасны.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Хорн привёл в пример OneUI в смартфоне Galaxy A50: изменения, внесённые инженерами Samsung, ослабили защиту Android и создали дополнительные векторы атак. Один из компонентов в этой оболочке был внедрён непосредственно в код ядра Linux и включает в себя функцию, которая должна защищать пользовательские данные от чтения, изменения и копирования злоумышленниками. Как ни парадоксально, но именно этот компонент содержит уязвимость, которая, наоборот, ослабляет защиту данных и может использоваться для исполнения на устройстве произвольного кода.

Хорн продемонстрировал эксплойт, с помощью которого хакер может получить удалённый доступ к базе данных, где хранятся конфиденциальные токены аутентификации учётных записей. Эксплуатация этой проблемы связана с давно известной уязвимостью, которая получила идентификатор CVE-2018-17972 и была устранена в ядре Linux и Android, но по какой-то причине осталась в коде, который до сих пор использует Samsung для своих смартфонов.

Хорн пришёл к выводу, что защита в смартфонах Samsung справляется лишь с простейшими root-утилитами и лишь в тех случаях, если они не были адаптированы специально для этих устройств. Он считает, что подобные модификации не стоят затрат ресурсов и даже вредны, поскольку предоставляют злоумышленникам дополнительные возможности для атак на смартфоны и затрудняют производителю выпуск обновлений операционной системы.

Компания Samsung устранила описанные Хорном уязвимости и в скором времени выпустит микрообновления с исправлениями для нескольких моделей смартфонов и планшетов.

8
iGuides в Дзене —  dzen.ru/iguides
iGuides в Telegram — t.me/iguides
iGuides в VK —  vk.com/iguides
iGuides в Ok.ru — ok.ru/iguides

Рекомендации

Рекомендации

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

–743
Ну раз замететили че придеца исправлять😆
14 февраля 2020 в 21:04
#
Alll
+3789
Костян. Покажись уже. Форум должен знать тебя в лицо. Заодно убедиться, что ты все таки ЧЕЛОВЕК!
15 февраля 2020 в 12:28
#
saintmaybach
+927
Пора Костяна поднимать из минусового болота )). Лови плюсик ))
14 февраля 2020 в 21:39
#
+3
Читаю комменты только в надежде , что в теме отписался Костик.
14 февраля 2020 в 22:03
#
+463
А чего не написали то как есть? Не «опасность сторонних оболочек», а «дырявый гнусмас»?))
15 февраля 2020 в 10:48
#
–11
4 июля 2020 в 01:43
#

Читайте также