Anuncios

Otra vulnerabilidad Master Key descubierto en Android 4.4 KitKat

http://thehackernews.com

A principios de este año , Bluebox Security anunció que habían encontrado un error en la forma en que Android verifica los paquetes de aplicación no manipulados por terceros . Mientras que los detalles fueron ivulgados por Jeff Forristal (CTO de Bluebox )Black Hat 2013 , debido a la atención que han causado, se encontró rápidamente el error.

Este error se da a conocer a Google en febrero, donde se convirtió en el bug # 8219321 . Bluebox consideró que la divulgación responsable fue fundamental para un error tan serio , por lo que Google dio muchos meses para permitir a sus socios de hardware poder tener todo fijo. Después de muchos meses , sin embargo , sólo unos pocos dispositivos se fijaron .

En un momento en que se estaba prestando la mayor atención a este error , un parche para un problema diferente dio en el proyecto de código abierto Android, una solución para el bug # 9695860 . Este error tuvo consecuencias muy similares , y un grupo llamado Android Security Squad documentó una técnica de explotación (aunque más débil que el error anterior.

En artículos anteriores, he documentado por primera vez cómo el bug # 8219321 obra, así como la forma de explotar en cualquier dispositivo que ejecute código que el usuario del sistema ( las técnicas anteriores se basaron en la búsqueda de paquetes válidos existentes con propiedades específicas ).

El bug # 9695860 fue en realidad más poderoso que el primero,como lo explica el sitio saurik.com.

Ahora , anoche , el código fuente de Android 4.4 fue lanzado al PSE , que incluye un parche para el otro error , # 9950697 , en la verificación de firmas de paquetes de aplicaciones Android.

Este error es un poco más débil que los anteriores , pero sigue siendo suficiente para apoyar las técnicas generales de exploits que he descrito.

 

Anuncios
  1. El problema de todo estos errores es la rapidez con la competencia….

    Responder

Dejar un comentario

Anuncios