Otra vulnerabilidad Master Key descubierto en Android 4.4 KitKat -Tecnología
Anuncios

Otra vulnerabilidad Master Key descubierto en Android 4.4 KitKat

http://thehackernews.com

A principios de este año , Bluebox Security anunció que habían encontrado un error en la forma en que Android verifica los paquetes de aplicación no manipulados por terceros . Mientras que los detalles fueron ivulgados por Jeff Forristal (CTO de Bluebox )Black Hat 2013 , debido a la atención que han causado, se encontró rápidamente el error.

Este error se da a conocer a Google en febrero, donde se convirtió en el bug # 8219321 . Bluebox consideró que la divulgación responsable fue fundamental para un error tan serio , por lo que Google dio muchos meses para permitir a sus socios de hardware poder tener todo fijo. Después de muchos meses , sin embargo , sólo unos pocos dispositivos se fijaron .

En un momento en que se estaba prestando la mayor atención a este error , un parche para un problema diferente dio en el proyecto de código abierto Android, una solución para el bug # 9695860 . Este error tuvo consecuencias muy similares , y un grupo llamado Android Security Squad documentó una técnica de explotación (aunque más débil que el error anterior.

En artículos anteriores, he documentado por primera vez cómo el bug # 8219321 obra, así como la forma de explotar en cualquier dispositivo que ejecute código que el usuario del sistema ( las técnicas anteriores se basaron en la búsqueda de paquetes válidos existentes con propiedades específicas ).

El bug # 9695860 fue en realidad más poderoso que el primero,como lo explica el sitio saurik.com.

Ahora , anoche , el código fuente de Android 4.4 fue lanzado al PSE , que incluye un parche para el otro error , # 9950697 , en la verificación de firmas de paquetes de aplicaciones Android.

Este error es un poco más débil que los anteriores , pero sigue siendo suficiente para apoyar las técnicas generales de exploits que he descrito.

 

Anuncios

One thought on “%1$s”

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Suscríbete a nuestro boletín Tecno