• Реклама: 💰 Пополни свой портфель с минимальной комиссией на Transfer24.pro
  • Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"
  • 💰 В данном разделе действует акция с оплатой за новые публикации
  • 📌 Внимание! Перед публикацией новостей ознакомьтесь с правилами новостных разделов

Новый баг в Android позволяет взломать системные приложения

bizneser

ТОП-МАСТЕР
Крипто-блогер
Регистрация
04.09.2010
Сообщения
47,265
Реакции
7,866
Поинты
385.799

Бельгийские эксперты по безопасности GuardSquare опубликовали доклад о новой уязвимости в Android, с помощью которой злоумышленники могут добавлять контент в APK-файлы без нарушения их подписи. Новый баг получил кодовое название Janus. Специалисты рассказали, чем опасна «дыра» в системе защиты Android, а Google уже отреагировала на заявление и приняла меры.

Напомним, каждый установочный пакет в Android требует уникальной подписи. Система отклоняет установку обновлённого APK-файла, если подпись пакета не сходится с таковой у прежней версии приложения. В ином случае Android компилирует программу в DEX-файл и запускает его на устройстве.


Janus комбинирует оригинальный пакет APK с модифицированным DEX-файлом, поэтому система не распознаёт, что код приложения был скомпрометирован. Таким образом хакеры могли заменить любые программы, включая системные, на их вредоносные версии.

Баг полноценно работает только с оригинальной схемой JAR-подписей Android, которую заменили на Signature Scheme v2 начиная с Android 7.0 Nougat. Поэтому на поздних версиях ОС хакеры могли атаковать только ограниченное количество сторонних приложений, разработчики которых ещё не перешли на новый метод подписи APK.

GuardSquare рассказала об уязвимости Google ещё 31 июля. Разработчики Android отреагировали на заявление и интегрировали исправление с новейшим патчем безопасности 5 декабря. Пользователям Android-устройств рекомендуется установить последние обновления, чтобы обеспечить безопасность своих гаджетов.

Источник.
 
Сверху Снизу