Главная | Новости | Полезная информация | Документация | Школа | Файлы | Ссылки | Форум
 Текущая сборка
RusNuke Current
Web-SVN
SVN репозиторий
Bug Tracker

 Навигация
Главная
Новости
Обзоры
Информация
Документация
Вопросы и ответы
Каталог файлов
Каталог ссылок
Информация о проекте
Рассылка новостей
Контакт с автором
Наполнение сайта
Добавить статью
Добавить файл
Добавить ссылку

Наши услуги
Обменный пункт WM
Реклама на проекте
Платные услуги
Услуги хостинга

Отраслевые публикации
Статьи по отраслям

 Поиск по сайту


Google
Web nukefiles.ru


Google платит 200000 долларов за уязвимость Android



Полгода назад Google предложил заплатить 200 000 долларов США для любого исследователя, который cможет удаленно взламывать Android-устройства, зная только номер телефона жертвы и адрес электронной почты. Никто не подошел к этой проблеме.

Хотя это может показаться хорошей новостью и свидетельствует о высокой безопасности операционной системы мобильного телефона, что, скорее всего, не главная причина, почему конкурс компании вызвал так мало интереса. С самого начала, люди отмечали, что $200,000 была слишком низкая премия для удаленного использования цепи, не рассчитывая на взаимодействие с пользователем.

"Многие покупатели могли бы заплатить больше, чем эта цена; 200к не стоит того, чтобы искать иголку в стоге сена", - сказал другой. Google был вынужден признать это, отметив в своем блоге на этой неделе, что "размер премии может быть слишком низким, учитывая тип ошибок, которые требуется обнаружить, чтобы выиграть этот конкурс". Другие причины, которые могли бы привести к отсутствию интереса, по данным службы безопасности компании, может быть высокая сложность таких подвигов и наличие конкурирующих конкурсов, где правила были менее строгими.

Для того, чтобы получить root или привилегия ядра на Андроид и полностью скомпрометировать устройство, злоумышленник должен связать между собой несколько уязвимостей. По крайней мере, они должны найти изъян, что позволит им удаленно выполнить произвольный код на устройствах, например, в контексте приложения, а затем использовать уязвимость, чтобы она привела к эскалации, чтобы избежать изолированной программной среды приложения.

Тем не менее, Google хотела установить эти условия, представленные в рамках этого конкурса, чтобы не полагаться на какие-либо формы взаимодействия с пользователем. Это означает, что вредоносное ПО должно было работать без пользователей, т.е. без нажатий на вредоносные ссылки, посещение сайтов-изгоев, прием и открытие файлов, и так далее. Данное правило существенно ограничивало точки входа, которые исследователи могли использовать для атаки на устройство. Первая уязвимость в цепи должна была бы располагаться в операционной системе, а именно во встроенной системе обмена сообщениями, такими как SMS или MMS, или в прошивке радиомодуля-низкоуровневое программное обеспечение, которое управляет телефоном и модемом, который может быть атакован через сотовую сеть.

Одна из уязвимостей, которая бы соответствовала этим критериям была обнаружена в 2015 году в основной библиотеке для работы с мультимедиа Android под названием STAGEFRIGHT, исследователями из фирмы мобильной безопасности Zimperium. Изъян, который вызвал большие скоординированные усилия по специалистов безопасности Android по устранению, мог бы быть использован, просто помещая специально созданный файл мультимедиа в любом месте на память устройства.

Один из способов сделать это была отправка мультимедийного сообщения (MMS) для целевых пользователей и это не требует никаких действий с их стороны. Лишь получение такого сообщения было достаточно для успешной эксплуатации.



admin1 - 02/04/2017



Комментарии к статье
Вы не можете отправить комментарий анонимно, пожалуйста зарегистрируйтесь.


пїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ - пїЅпїЅпїЅпїЅпїЅпїЅ

 Авторизация
Логин
Пароль
Регистрация на сайте
Забыли свой пароль?

 Сейчас на сайте
Гостей: 11
Пользователей: 5
Всего: 16

Пользователи:
01: HenryTurge
02: Kermitdof
03: Jeffreycer
04: RobertPrevy
05: OswaldoBig

 Наш опрос
Какой форум предпочитаете?

Invision Power Board
vBulletin
Phorum
MyBB
PunBB
Simple Machines Forum
phpBB
BBtoNuke



Результаты
Другие опросы

Ответов: 1339
Комментариев: 10

 Рассылка новостей
Подробнее...

 Реклама


Главная | Новости | Полезная информация | Документация | Школа | Файлы | Ссылки | Форум
Copyright © 2002 Internet studio. All Rights Reserved.
Web site engine's code is Copyright © 2002 by PHP-Nuke.
PHP-Nuke is a free test software released under the GNU/GPL.
Страница сгенерирована за 0.0267 с. Выполнено 17 запроса к базе данных за 0.0033 с.

Rambler's Top100 Рейтинг@Mail.ru liveinternet.ru: показано число просмотров и посетителей за 24 часа