Κατά τη διάρκεια του συνεδρίου hacking Black Hat που πραγματοποιείται στο Las Vegas οι ειδικοί του Hacking έδειξαν ότι όλα τα Android phones είναι ευάλωτα στη βούληση των hackers, οι οποίοι μάλιστα δεν χρειάζεται να είναι και πολύ δημιουργικοί καθώς απαιτούνται παρόμοιες μέθοδοι εισβολής σε όλους τους εκπροσώπους του Android οικοσυστήματος.
Οι ειδικοί έδειξαν ότι δεν είναι ανάγκη να περάσει πλέον κάποιο κακόβουλο λογισμικό μέσα από τις εφαρμογές που κατεβάζει ο χρήστης, αφού πλέον οι hackers μπορούν να χρησιμοποιήσουν προς όφελός τους και το NFC, την τεχνολογία ασύρματης επικοινωνίας από κοντινή απόσταση που έχουν αρχίσει σταδιακά να ενσωματώνουν ολοένα και περισσότερα Android phones. Τονίστηκε ότι κακόβουλος κώδικας θα μπορούσε να είναι ενσωματωμένος σε ένα NFC tag οπουδήποτε κάποιος χρησιμοποιεί την τεχνολογία NFC.
Στο συνέδριο τονίστηκε ότι η Google κάνει βήματα προς την σωστή κατεύθυνση αλλά δεν φτάνουν όλα τα updates έγκαιρα σε όλους τους Android χρήστες. Δόθηκε έμφαση στη λειτουργία Java script bridge, η οποία αποτελεί ένα κοινά χρησιμοποιούμενο προγραμματιστικό εργαλείο από κολοσσούς όπως το Facebook και το LinkedIn, το οποίο και βοηθά τους developers να προσθέτουν νέα στοιχεία στις εφαρμογές τους, χωρίς να κάνουν χρήση της τυπικής διαδικασίας update του Android. Αυτό ακριβώς το εργαλείο, σύμφωνα με τους ειδικούς, μπορεί να πέσει θύμα κακόβουλης χρήσης από hackers.
https://goo.gl/xzLew δείτε και αυτό όσον αφορά την προστασία του λειτουργικού που ισχύει πλήρως από το Jelly Bean (είχε υλοποιηθεί αλλά όχι πλήρως και στο ICS)
Κάθε τι ωραίο, έχει και το τίμημά του.
Αμαν αυτοι οι hackers, φοβομαστε για τους υπολογιστες τωρα θα φοβομαστε και για τα κινιτα αλι δουλεια δεν εχουν να κανει οι hackers!!!Oχου πια
Το concept είναι ότι όταν στέλνεις κάτι μέσω NFC, ο παραλήπτης ΔΕΝ χρειάζεται να αποδεχτεί τίποτα.
Οπότε θεωρητικά κάποιος μπορεί να σου στείλει ένα “κακόβουλο” link*
(αν είστε πολύ κοντά φυσικά, και έχεις ανοιχτή την οθόνη του)
*Το “κακόβουλο” link έχει από πίσω κάποιο browser/webview exploit και ο κακός τύπος αποκτά πλήρη πρόσβαση στο κινητό μας.
Εγώ (πάντως) το θεωρώ κενό ασφαλείας στον browser, και όχι στο NFC, καθότι με οποιονδήποτε τρόπο να τύχει να επισκεφτούμε το “bad” link, πάλι ο τύπος θα αποκτήσει πρόσβαση στην συσκευή μας
(Α, επίσης στο Android 4.1 που έχει -επιτέλους- πλήρη υλοποίηση για ASLR, το exploit ΔΕΝ λειτουργεί, οπότε οι χρήστες του είναι ασφαλείς)
Σιγα το νεο….android ειναι αυτο..
stavro και στο ios όταν κάνουμε jailbrake “χρησιμοποιούμε” κάποιο κενό ασφαλείας (συνήθως του browser), το οποίο χοντρικά σημαίνει ότι ο οποιοσδήποτε θα μπορούσε να χρησιμοποιήσει το συγκεκριμένο exploit για να αποκτήσει πλήρη πρόσβαση στο iphone μας.
@greeceandroid το iphone ομως ειναι iphone,μην το βαζεις στην ιδια κατηγορια με τα android.
Όχι φίλε Σπύρο, δεν τα βάζω την ίδια κατηγορία, προσπαθώ να είμαι απόλυτα ρεαλιστής. Συγγρίνοντας iphone χωρίς jb, και android χωρίς root, το android μειονεκτεί στην ασφάλεια κυρίως λόγω της δυνατότητας εγκατάστασης εφαρμογών εκτός market, πόσο μάλλον που οι περισσότεροι χρήστες εγκαθιστούν ότι .apk βρίσκουν στα γνωστά “σπασμενάδικα” sites. Η “ελευθερία” αυτή του android μπορεί να γυρίσει μπούμερανγκ. Κάποιοι μπορεί να το πούνε human factor αυτό, και εδώ ξεκινάει η συζήτηση αν πρέπει ένα λειτουργικό να αφήνει τον χρήστη να εγκαταστήσει ελεύθερα ότι θέλει. Επίσης οι εφαρμογές στο Android Market ΔΕΝ περνάνε από κάποια διαδικασία έγκρισης, όποιος έχει 25 δολάρια μπορεί να ανεβάσει ότι θέλει στο Market. Και εκεί “χάνει” το Android όσον αφορά την ασφάλεια. Από εκεί και πέρα αν συγκρίνουμε jailbroken iphone με rooted android, η ασφάλεια είναι “πάνω/κάτω” η ίδια. Ίσως μέχρι πρόσφατα που το Android δεν είχε πλήρη υλοποίηση ASLR (για να κάνει randomize όλες τις θέσεις μνήμης), να ήταν ποιο εύκολο το exploitation, αλλά αυτό φτιάχτηκε στο 4.1). Σχολίασα δεδομένου ότι βρέθηκε κάποιο exploit για τον browser του Android (το οποίο στην ουσία είναι το θέμα του άρθρου) , το οποίο συμβαίνει/έχει συμβεί πολλές φορές και στο IOS. Το πιο σημαντικό είναι ότι αν κάποιος… Συνέχεια »
Οπως λεει και ο φιλος πανω το android εχει το τιμημα του. Κανεις πολυ περισσοτερα πραγματα αλλα ειναι πιο απαιτητικο για το χρηστη που δεν γνωριζει πολλα ή δεν εχει μεγαλες γνωσεις απο smartphones και υπολογιστες. Δυστυχως υπαρχουν πολλοι ανθρωποι που δεν εχουν τη θεληση και την αναγκη να ασχοληθουν και τα καταλαβουν πως λειτουργουν πολλα πραγματα ή δεν ενδιαφερονται γενικα. Το ios ειναι πιο ασφαλες σε αυτη τη περιπτωση. Αλλα τελεια ασφαλες δεν υπαρχει, αυτο πειτε στο στην σαρλιζ και τις φωτο που της πηρανε απο το iphone της :p
Το jb ειναι σε πολυ καλο δρομο, αλλα τωρα υπαρχει ενα θεμα ακομα με μερικα apps καθως η δυνατοτητα που προσθεσε το jb αλλαξε πολλα πραγματα με τα apps και το που σωζουν αρχεια. Ελπιζω να φτιαχτουν ολα γρηγορα. Η αληθεια ειναι οτι παροτι minor update το jb εδωσε πολλα διαφορετικα πραγματα και χαρακτηριστικα στοιχεια στο android. Επισης βελτιωθηκε τρομερα το nexus s σε ταχυτητα και αποκριση σε σημειο που ουτε εγω το πιστευω, ειδικα συγκρινοντας το με το galaxy nexus.
Να προσθέσω ότι το nfc exploit για το οποίο γίνεται λόγος υπάρχει και στο Ν9 το οποίο έχει NFC chip επίσης…μήπως είναι πρόβληματου nfc chip γενικότερα;και όχι μόνο του android…?
Θεωρητικά είναι (εν δυνάμει) vulnerability το ότι μέσω NFC το κινητό δέκτης λαμβάνει και ανοίγει κάτι χωρίς ο χρήστης να το αποδεκτεί.
Από εκεί και πέρα στο N9 χρησιμοποιήθηκε ένα exploit στο πρόγραμμα που θα άνοιγε ένα έγγραφο κειμένου.
(Σε άλλο κινητό μπορεί να φτιαχτεί exploit στο πρόγραμμα που ανοίγει μία φωτογραφία ή ένα βίντεο)