Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Zbadali kod Androida

Recommended Posts

Firma Coverity, specjalizująca się w poszukiwaniu luk bezpieczeństwa w kodzie źródłowym programów, która już w przeszłości badała programy opensource'owe, tym razem przyjrzała się kodowi systemu Android.

Specjaliści znaleźli w jądrze Androida 359 dziur, z czego 88 oceniono jako wysoce niebezpieczne, a 271 jako średnio niebezpieczne.

Wśród wysoce niebezpiecznych dziur 20 związanych jest z możliwością zakłócenia pracy podsystemu pamięci, 29 umożliwiają napastnikowi uzyskanie dostępu do pamięci, 11 dotyczy wycieków w pamięci, a 28 - niezainicjalizowanych zmiennych.

Złą wiadomością dla Google'a, twórcy Androida, jest fakt, że mimo iż bazuje on na linuksowym jądrze, to w komponentach specyficznych dla Androida odsetek błędów jest wyższy, niż w Linuksie. Z kolei dobra informacja jest taka, że średnia dziur w Androidzie jest i tak niższa od średniej w przemyśle IT i wynosi 0,47 luki na 1000 linii kodu.

Jeśli weźmiemy pod uwagę kod specyficzny dla Androida to średnia ta wzrasta to 0,78 dziury na 1000 linii.

Specjaliści Coverity zauważają przy tym, że Android zmaga się tutaj z podobnym problemem, jaki ma całe środowisko opensource'owe. Filozofia tworzenia tego oprogramowania powoduje, że odpowiedzialność się rozmywa i nie wiadomo, do kogo należy poprawianie błędów. Czy powinien się zająć tym Google, czy developer, który jest autorem konkretnego kodu, czy też np. producent sprzętu, oferujący Androida.

Share this post


Link to post
Share on other sites

Rozmywa się, czy nie - luki w oprogramowaniu Open Source są łatane dużo szybciej niż w wielu jego komercyjnych odpowiednikach.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Prokuratorzy generalni 48 amerykańskich stanów, Dystryktu Kolumbii oraz Puerto Rico dołączyli do śledztwa w sprawie możliwego naruszenia przepisów antymonopolowych przez Google'a, oświadczył lider grupy, Ken Paxton, prokurator generalny stanu Teksas. W śledztwie nie biorą udziału prokuratorzy Kalifornii i Alabamy.
      Gdy nie ma już wolnego rynku lub konkurencji, dochodzi do wzrostu cen, nawet jeśli coś jest reklamowane jako darmowe, a to szkodzi konsumentom, mówi prokurator generalna Florydy, Ashley Moody. Czy coś jest naprawdę bezpłatne, jeśli oddajemy za to coraz więcej informacji osobistych. Czy coś jest naprawdę wolne, jeśli ceny reklamy internetowej idą w górę, bo są pod kontrolą jednej firmy?.
      Śledztwo w sprawie postępowania Gooogle'a nie jest jedynym, jakie ostatnio rozpoczęło się w USA w sprawie gigantów rynku IT. Kilka dni wcześniej prokuratorzy generalni siedmiu stanów oraz Dystryktu Kolumbii rozpoczęli, pod przewodnictwem prokurator generalnej stanu Nowy Jork, Letitii James, śledztwo w sprawie działań Facebooka. Niewykluczone, że oba śledztwa będą koordynowane.
      Po ogłoszeniu decyzji prokuratorów akcje konglomeratu Alphabet, którego Google jest najważniejszą częścią, spadły o 0,9%. Rzecznik prasowy Google'a poinformował, że firma otrzymała z Departamentu Sprawiedliwości prośbę o informację na temat swoich praktyk biznesowych. Spodziewamy się, że podobne pytania będą zadawali prokuratorzy, przyznał rzecznik.
      Śledztwo rozpoczęte przez poszczególne stany to kolejny problem dla obu koncernów, które już borykają się ze śledztwami federalnymi.
      W lipcu Federalna Komisja Handlu (FTC) zatwierdziła ugodę z Facebookiem w ramach której gigant ma zapłacić rekordowe 5 miliardów dolarów grzywny oraz wypełnić szereg zaleceń nałożonych przez FTC. serwis społecznościowy zapłacił też 100 milionów dolarów grzywny w ramach ugody z Komisją Giełd (SEC).
      Z kolei Departament Sprawiedliwości prowadzi własne śledztwo przeciwko Google'owi. Prokuratorzy generalni oświadczyli zaś, że ich śledztwo będzie prowadzone niezależnie od śledztw federalnych organów władzy.
      Dotychczas akcje podejmowane przez władze federalne przeciwko Facebookowi czy Google'owi niczego nie zmieniały. Firmy płaciły spore grzywny, które jednak stanowiły niewielką część ich rocznych przychodów.
      Śledztwo antymonopolowe prowadzone przez prokuratorów stanowych ma inną wagę, niż śledztwa ws. prywatności, które dotychczas prowadziły władze federalne. Jeśli bowiem okaże się, że Facebook czy Google naruszyły przepisy antymonopolowe, można im nakazać zmiany algorytmów na bardziej przyjazne dla konkurencji czy nawet doprowadzić do podziału firmy.
      Doug Peterson, prokurator generalny Nebraski, mówi, że będzie współpracował zarówno z Departamentem Sprawiedliwości, jak i z władzami innych krajów. Bardzo znaczący jest fakt, że śledztwa w tej sprawie są też prowadzone w Unii Europejskiej, Wielkiej Brytanii, Francji i Australii, stwierdza.
      Nie można też wykluczyć, że śledztwa przeciwko Google'owi i Facebookowi zostaną rozszerzone na Apple'a i Amazona.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Eksperci wpadli na ślad dwóch cyberprzestępczych kampanii, w ramach których zainfekowano ponad 200 aplikacji na Androida, a aplikacje te zostały pobrane ponad 250 milionów razy.
      Obie kampanie skierowano wyłącznie przeciwko użytkownikom Androida, a przeprowadzono je nakłaniając programistów do używania złośliwych pakietów SDK (software development kits). W ramach jednej z kampanii aplikacje zostały zarażone adware'em, a w ramach drugiej – dokonują kradzieży informacji.
      Jeden z ataków, nazwany „SimBad” gdyż zainfekował głównie gry, doprowadził do zarażenia 206 aplikacji, które zostały pobrany 150 milionów razy. Szkodliwe oprogramowanie znalazło się w SKD o nazwie RXDroider oferowanego przez witrynę addroider.com. Gdy tylko użytkownik zainstaluje jedną z zainfekowanych aplikacji, SimBad rejestruje się na jego urządzeniu i zyskuje prawo do anonimowego przeprowadzania różnych działań. Szkodliwy program łączy się z serwerem, z którego otrzymuje polecenia. Może to być zarówno polecenie połączenia się za pośrednictwem przeglądarki z konkretnym adresem, jak i nakaz usunięcia ikony jakiejś aplikacji. Najważniejszymi funkcjami szkodliwej aplikacji są wyświetlanie reklam, otwieranie witryn phishingowych oraz oferowanie użytkownikowi innych aplikacji. Napastnik ma też możliwość instalowania dodatkowych aplikacji na urządzeniu ofiary, co daje mu możliwość dalszego infekowania.
      Obecnie SimBad działa jako adware, ale dzięki możliwości wyświetlania reklam, otwierania witryn i oferowania innych aplikacji może on wyewoluować w znacznie poważniejsze zagrożenie, stwierdzili badacze w firmy CheckPoint Research.
      Druga z cyberprzestępczych operacji została nazwana „Operation Sheep”. W jej ramach napastnicy zainfekowali 12 aplikacji na Androida, które zostały pobrane już ponad 111 milionów razy. Aplikacje te na masową skalę kradną dane o kontaktach przechowywanych w telefonie. Tutaj ataku dokonano za pomocą SDK o nazwie SWAnalytics, za pomocą którego powstały aplikacje obecne przede wszystkim w sklepach chińskich producentów telefonów, takich jak Huawei App Store, Xiaomi App Store i Tencent MyApp.
      Badacze trafili na ślad tej kampanii we wrześniu 2018 roku. Stwierdzili, że po zainstalowaniu którejś ze szkodliwych aplikacji, cała lista kontaktów użytkownika jest pobierana na serwery firmy Shun Wang Technologies. Jako, że z samego tylko Tencent MyApp pobrano szkodliwe aplikacje ponad 111 milionów razy, to teoretycznie Shun Wang Technologies może mieć w swojej bazie nazwiska i telefony co najmniej 1/3 populacji Chin. Jako, że ani Shun Wang nie informuje, w jaki sposób wykorzystuje te dane, ani nie ma nad nimi żadnego nadzoru z zewnątrz, teoretycznie firma może te dane sprzedać np. na czarnorynkowych giełdach internetowych.
      W porównaniu z danymi finansowymi oraz rządowymi dokumentami identyfikacyjnymi dane dotyczące kontaktów osobistych są zwykle traktowane jako mniej wrażliwe. Powszechnie uważa się, że wykorzystanie takich danych i zarobienie na nich jest trudne i niewarte wysiłku. Jednak krajobraz się zmienia, a nielegalne rynki coraz bardziej się specjalizują, powstają nowe modele biznesowe pozwalające na zarobienie na takich danych, stwierdzili eksperci.

      « powrót do artykułu
×
×
  • Create New...