2. Hírek
  3. Biztonság

Tízből kilencszer törték meg a Gmail alkalmazást

A Kaliforniai Egyetem és a Michigani Egyetem kutatói a napokban tettek közzé egy tanulmányt, melyben egy olyan sebezhetőséget mutatnak be, mely feltételezésük szerint az összes mobilos operációs rendszeren megtalálható, és amelynek segítségével az okostelefonokról megszerezhetőek a személyes információk. A szakemberek az Androidon demonstrálták a sérülékenység kihasználását, de úgy vélik, a Microsoft és az Apple rendszerén is működik, mivel az alapjellemző – vagyis hogy az alkalmazások azonos memóriaterületen osztoznak – ugyanaz mindegyiknél.

A kutatás vezetője elmondta, hogy az eddigi szakmai előfeltevés az volt, hogy a különböző alkalmazások az osztott memória segítségével nem zavarhatják egymás működését, ám nekik sikerült bebizonyítani, hogy ez nem így van, mivel az egyik segítségével befolyásolni lehet a másikat.

A demonstráción a kutatók bemutatták, hogy először a felhasználónak le kell töltenie egy ártatlannak látszó alkalmazást (pl. egy egyszerű háttérképet), amely azonban rejtve kártékony kódot tartalmaz. A szakemberek által megírt malware a telepítés után a megosztott memóriában zajló összes folyamat statisztikájához hozzáfér, ehhez ugyanis nincs szükség különleges jogosultságra (valójában ennek a nyilvános csatornának a felfedezése jelenti az igazi újdonságot). A későbbiekben a begyűjtött adatok alapján tovább figyelik a memóriában zajló folyamatokat, és összevetés segítségével össze tudják azokat kapcsolni a különféle alkalmazásokkal, amelyeket aztán próbálnak működés közben feltörni.

Két fontos feltétele van a sikeres támadásnak: pontosan akkor kell megindítani, amikor a felhasználó végrehajt valamit az adott alkalmazással, illetve a felhasználó nem sejtheti, hogy támadják – így nagyon fontos a pontos időzítés.

A tanulmány szerint a támadási módszer különösen hatékony: több népszerű mobilos alkalmazáson is kipróbálták, és a Gmail vagy egy banki alkalmazás esetében bőven 80 százalék fölötti hatékonysággal sikerült a törés, konkrétan a bejelentkezés adatok megszerzése.

A kutatók eredményeiket holnap fogják a szakmai közönségnek bemutatni a San Diegóban rendezett USENIX biztonsági konferencián.

Előzmények

  • A menő androidos alkalmazások fele megbukott

    A Codenomicon vizsgálata szerint számtalan örökölt hiba fut végig az alkalmazásokon. Ezek egy része szándékos, hogy a fejlesztők adatokat juttassanak el a hirdetőknek.

    Biztonság 20

  • Az okostelefon beépített hackerré teszi az alkalmazottakat

    A megkérdezettek harmada úgy használja saját készülékét, hogy nem tudja vagy nem érdekli, hogy mik az arra vonatkozó céges előírások – ugyanakkor egyre nagyobb az igény a céges és privát adatok módszeres elkülönítésére.

    Biztonság 6

  • A magyar netezők több mint fele használ okostelefont is

    2013 végére a hazai oldalletöltések között a mobileszközről generált oldalletöltések már a 10%-os határt ostromolják, ami azt jelenti, hogy minden tizedik oldalletöltést mobileszközről generálnak.

    Mérleg 12

  • Több okostelefon, mint (okos) ember

    Az Ericsson szakemberei úgy ítélik meg, hogy a mobilos telefon- és internethasználat terjedése megállíthatatlan, és még csak a folyamat elején tartunk. Úgy látják, hogy 2015-re a mobil-előfizetések száma meghaladja a Föld lakosainak számát

    Mérleg 27