[ Ivan Dimkovic @ 04.07.2013. 16:41 ] @
Citat:
Android ‘Master Key’ Security Hole Puts 99% Of Devices At Risk Of Exploitation
Mobile security startup Bluebox Security has unearthed a vulnerability in Android’s security model which it says means that the nearly 900 million Android phones released in the past four years could be exploited, or some 99% of Android devices. The vulnerability has apparently been around since Android v1.6 (Donut), and was disclosed by the firm to Google back in February. The Samsung Galaxy S4 has already apparently been patched.

...

Bluebox intends to detail the flaw at the Black Hat USA conference at the end of this month but in the meanwhile it’s written a blog delving into some detail. The vulnerability apparently allows a hacker to turn a legitimate app into a malicious Trojan by modifying APK code without breaking the app’s cryptographic signature. Bluebox says the flaw exploits discrepancies in how Android apps are cryptographically verified and installed. Specifically it allows a hacker to change an app’s code, leaving its cryptographic signature unchanged — thereby tricking Android into believing the app itself is unchanged, and allowing the hacker to wreak their merry havoc.

The flaw is made worse if an attacker targets a sub-set of apps developed by device makers themselves, or third parties — such as Cisco with its AnyConnect VPN app — that work closely with device makers and are granted system UID access. This sub-set of apps can allow a hacker to tap into far more than just mere app data, with the potential to steal passwords and account info and take over the normal running of the phone. Here’s how Bluebox explains it:


Hahahaha, kakav skrndelj od OS-a - ni signature check ne moze da uradi kako treba.

[ Otto23 @ 04.07.2013. 17:10 ] @
Ja sam siguran da je to puka slucajnost ;). Eto mali propust, onako sasvim slucajan. Meni se nesto doima da takve propuste ima i iOS i gotovo svaki sistem - onako slucajno.

Pozdravio vas Snowden
[ Ivan Dimkovic @ 04.07.2013. 19:32 ] @
Vi teoreticari zavere ste stvarno smesni k'o bioskop.

Prvo, NSA nema nikakvu potrebu da sebe kompromituje nekakvim exploitima koje izvaljuju bubuljicari po "black hat" konferencijama, posto na savrseno legalan nacin mogu da dobiju pristup telefonskim razgovorima i svim drugim podacima koje taj telefon komunicira sa mrezom.

Sve sto treba da urade je da lepo zamole telefonske operatere ili Google da im te podatke ustupe, ili da ih sami prikupe automatizovanim procedurama analize paketa koje imaju po kljucnim nodovima. I to je 100% nevidljivo za vlasnika telefona.

Drugo, sa ovim bagom NSA apsolutno nista ne dobija sto vec ne mogu da imaju na daleko cistiji nacin.

Sve sto ovaj bag omogucava je da se na telefon instalira malware sa sistemskim pristupom tako sto se izmajmunise provera kljuca.

To znaci da NSA mora na neki nacin da natera vlasnika telefona da skine malware. Sto znaci ili fizicki pristup ili neki socijalni inzenjering.

A, ako vec moraju da nateraju vlasnika da skine malware, taj malware mogu da potpisu savrseno legalnim kljucem koji sigurno mogu da dobiju od, recimo, Verisign-a tako da nema nicega sumnjivog. Prilicno sam siguran da NSA ima neku fake firmu koja ima kljuceve koji su trusted.

Mislim, smesno.

A ako NSA ima neku magicnu metodu da push-uje softver bez potrebe da korisnik nesto uradi i da mogu da instaliraju taj softver bez da vlasnik telefona to primeti, svakako onda imaju i mogucnost da to sto push-uju potpisu kljucem koji je trusted. Mislim, ako zavise od bagova koje mogu klinci da izvale bolje im je da se ubiju odmah.

Da ne pricamo o tome ako bi NSA isli na neki pravi backdoor, takve stvari mogu da smeste u baseband/radio RTOS telefona kojem se uopste ne moze pristupiti iz Android userlanda ili kernellanda dok baseband ima pristup memoriji bez ogranicenja, sto znaci da "black hat" bubuljicari ne bi mogli da ga provale koliko god se trudili da analiziraju Android. A, da, malo koji teoreticar zavere zna kako moderni smartphone telefoni funkcionisu pa zato misle da je potreban exploit u iOS-u ili Androidu.

Tako da, za tinfoil hat brigadu vazi i dalje savet da beze u pecinu i brisu guzice vevericom.

A ovde je u pitanju standardni blam sa losim kodom, a ne nekakva zavera.
[ Ivan Dimkovic @ 04.07.2013. 19:51 ] @
Mislim, zamislite super-tajnu operaciju protiv teroriste Abdulaha bin Abdulaha, poznatog teroriste koji vec godinama uspesno izbegava hapsenje...

NSA, FBI, CIA, ATF, LAPD, NYPD, vatrogasci, mladi izvidjaci itd... rade na pracenju Abdulahovih radnji mesecima, izmedju ostalog koristeci Android key exploit da mu serviraju pr0n svaki put kad kupi novi telefon tako da Abdulah uopste ne sumnja da je njegova komunikacija na Al-Tviteru pracena.

Tog kriticnog dana je trebalo da dodje do prikupljanja kljucnih podataka o sledecoj Abdulahovoj akciji, ali je Abdulah odlucio da uradi sistemski update na svom novom Samsung Galaxy S4, Arab Edition...

Abdulah to nije znao, ali je ta odluka urnisala celu policijsku istragu protiv njega.

Stvarni dijalog izmedju NSA direktora i operativca na terenu:

Citat:

NSA Direktor: Dakle, sta smo saznali, gde ce udariti?
Operativac: Sir... imamo problem...
NSA Direktor: Kakav problem?
Operativac: Znate... Samsung...
NSA Direktor: Samsung?!?!
Operativac: Da... Samsung... odlucili su da zakrpe nas bag...
NSA Direktor: Master key bag?
Operativac: Da!

NSA Direktor: ...
Operativac: ...
NSA Direktor: ...
Operativac: ...

NSA Direktor: Otkazite akciju i vratite se u bazu... idemo svi na krofne...
Operativac: Prokleti Korejanci.... Ja castim!
[ Otto23 @ 04.07.2013. 20:03 ] @
Uh, bre, silly me... sto bi se svemoguca NSA uopste bavila time. I ovi "bubuljicari" sto su u svom svom neznanju nekako pronasli bug... nego, da recimo tebe odma' pitaju, koji se ne brishesh vevericama, da im to pokazes i edukujes ih kako se sve to zapravo radi.

Daj, bre Dimkovicu, prst na celo... svaka moguca prilika da se napravi relativno lako backdoor, koji omogucava pristup podacima ili operativnom sistemu, budi siguran da nece biti propustena. Ne zato sto ne postoji bolja opcija, nego zato sto su 2 ili 5 ili 10 opcija mnogo bolje od samo jedne.

Citat:
Vi teoreticari zavere ste stvarno smesni k'o bioskop.

Ti si beshe bio onaj zagovornik price da je skype bezbedan, da nema backdoor, da ne moze da se prisluskuje... kako li se to zavrshilo. Da Andjelina Jolie ne snima film o Srbima i silovanjima, i da je jos, cuj, Mitrovic pitan da radi sa njom - to ocenio kao pravu fikciju i lokal politiku, kao pricu koja samo prizemnim ljudima na balkanu moze da bude realna. Da shiptari nisu vadili organe srbima - pa vidi cuda, kako se to zavrshilo. Nego bre, smesni su ovi teoreticari zavere - nego, ja bi rekao da su ovi sto sve uvek znaju, i sto dele etikete, smesni k'o bioskop.

...
P.S. Ne kazem da ovo nije bug, jer moze da bude stvarno debilan bug - ali isto tako moze da bude i namerno "propusten"... slucajno zaboravljen, za one prilike kad ti ustreba. Zahvali se tim bubuljicarima sto su ga u opste pronasli i objavili tako nesto, jer da ga je pronasao neko drugi sigurno ga ne bi objavio...
[ Ivan Dimkovic @ 04.07.2013. 20:09 ] @
Ne, nisam ja pricao da je Skype bezbedan, vec da nemacke vlasti u tom momentu nisu mogle da prisluskuju Skype pozive zato sto Skype nije saradjivao sa njima, a enkripciju nisu mogli da razbiju.

Tj. nisu mogli da prisluskuju bar dok Microsoft nije kupio Skype, kada je MSFT kupio Skype oni su postali USA firma, i Microsoft je duzan da NSA dostavi dekriptovani online saobracaj ako NSA to zahteva. Vrlo verovatno, posto Microsoft ima legalno prisustvo u Nemackoj i Nemci danas mogu da prisluskuju Skype tako sto ce "zamoliti" MSFT da im te podatke dostavi, posto imaju legalnu moc nad MSFT-om, a to je nesto sto nisu imali nad Skype-om.

Dakle, nema tu nikakve zabune, niti se nesto specijalno desilo sa Skype-om, niti je neko nesto "razbio". Sve sto se desilo je da je Skype postao USA firma, i kao takva podlozna USA zakonima koji kazu da NSA ima pravo da pristupa telekomunikacionim podacima.

Drugo, u slucaju ove rupe je vise nego jasno da se radi o losem kodiranju a ne o nekakvoj zaveri.

Kao sto rekoh, NSA ima daleko cistije nacine da nekoga prisluskuje nego da mu instaliraju malware na telefon. Cak i da NSA mora da pribegne instalaciji malware-a postoje nacini da oni to urade koji ce uvek funkcionisati i nece biti ugrozeni nekim provaljivanjem od "black hat-ova".

Sve sto je potrebno je da imas odgovarajuci kljuc. A ja licno Verisign-u ne bi verovao da nisu proizveli "kopije" privatnih kljuceva svojih klijenata.

Ceo model oslanjanja na nekoliko firmi na ovom svetu kao "root trust" provajdera je permanentno pogresan.

Ako neko zeli da bude siguran da samo instalira "trusted" softver, prvo treba da ukloni podrazumevene root-certificate provedjere iz liste kljuceva kojima se po defaultu "veruje".
[ misk0 @ 04.07.2013. 20:10 ] @
Citat:
Ivan Dimkovic: Hahahaha, kakav skrndelj od OS-a - ni signature check ne moze da uradi kako treba.


Koji troll... :) Eto, dovoljno si u IT industriji, reci mi koji OS desktop, server, mobile a da ga koriste vishe od 1mil ljudi nema ili nije imao rupa? Jest da je ovo MadZone ali trolujes za medalju :)
[ Ivan Dimkovic @ 04.07.2013. 20:15 ] @
Tema je trebala da bude originalno u Advocacy-ju, a tu je jezik komunikacije upravo takav.

A Android je skrndelj od OS-a potpuno nevezano za ovaj bag.
[ Nedeljko @ 04.07.2013. 20:43 ] @
Uopste mi nije jasno kakve ovo ima veze sa NSA.

Ako to onemogucava NSA da špijunira pošten svet - super.
[ X Files @ 04.07.2013. 20:49 ] @
Ja na Android gledam ovako: To je "nešto" na mom telefonu što će mi od 2012-2014, 100% pouzdano završavati posao na smart telefonu. Ne moram da znam šta je (jer mi je telefon kao sprava u prvom planu, a ne to "nešto"), ne znam kako radi (nisam se zainteresovao, jer mi sve radi, ne moram da Google-ujem za pitanjima How to...), ne znam koliko će trajati kao projekat (svakako ću 2014 kupiti neki nov trendi telefon, koji će imati neko novo to "nešto", sa zakrpljenim "android-security-hole"-om, pa nek se zove kako god, i neka ga proizvodi ko god).

Ah, da zaboravio sam... ovo je tehnički forum, pa se ne bavimo telefonima... nego kvalitetom OS-a, kvalitetom procesora.



Inače, kada budem programirao neki pejsmejker like device, e onda ću se 100% saglasiti da je Android skrndelj kao platforma i da treba pažljivije birati. A za telefon... who cares?
[ kkedacic @ 04.07.2013. 20:56 ] @
Takvo razmisljanje je dovelo do toga da je Windows XP zavrsio na nuklearnim podmornicama i postrojenjima za obogacivanje urana, takvo ce razmisljanje dovesti i do toga da ce Android upotrebljavati na stvarima kao sto je pacemaker.
[ X Files @ 04.07.2013. 20:59 ] @
Čije razmišljanje?

Predaleko si otišao. Mi smo čvrsto kod telefona ili sličnog mobilnog uređaja, koji je skroz prolazna stvar. Kao i Android u verziji 4.1.2.
[ Tyler Durden @ 04.07.2013. 21:26 ] @
ma dimkovic voli malo da ventilira bez razloga kao i obicno.....
mozda je doslo vrijeme da ti napises svoj OS kao i svoj mobilni telefon da konstruises i napises OS za njega posto nista nije dovoljno dobro za tebe
[ Igor Gajic @ 04.07.2013. 21:39 ] @
Kada sam kupio Android smartphone prvo sto je uradio je - upload svih kontakata na Google cloud i sinhronizacija svih podataka. Nije mi bilo nimalo prijatno. Ali i dalje koristim isti telefon...

Evo jedne "zanimljive" zloupotrebe smartfona

http://www.dailymail.co.uk/sci...data--build-3D-model-home.html

[ Nedeljko @ 05.07.2013. 15:09 ] @
Baš me zanima šta bi na ovo rekao RMS, pošto je on protiv mobilnih telefona za koje kaže da su Staljinov san koji omogućava neprekidno praćenje ljudi. On lično nema ni fiksni telefon.
[ Burgos @ 05.07.2013. 19:11 ] @
Bar ne plaća pretplatu za džabe ko ja.
[ Ivan Dimkovic @ 05.07.2013. 19:19 ] @
Citat:
Tyler Durden:
ma dimkovic voli malo da ventilira bez razloga kao i obicno.....
mozda je doslo vrijeme da ti napises svoj OS kao i svoj mobilni telefon da konstruises i napises OS za njega posto nista nije dovoljno dobro za tebe


Odakle ti ideja da nista nije dovoljno dobro za mene?

iPhone 4S + iOS 5 su mi odlicno radili posao.

Na zalost 4S je greskom ubacen u centrifugu :)
[ EArthquake @ 06.07.2013. 09:07 ] @
opet blackhat FUD ...

bilo je toga i na windozi pa niko nije drzao ceo talk o tome
http://technet.microsoft.com/en-us/security/bulletin/ms12-024 PE Code signing bypass (jedan od par)

inace , taj code signing bug ne predstavlja "master kljuc svih telefona"

omogucava jednu opasnu stvar, a to je da se u marketu pojavi APK koji ima legitiman potpis a u stvari
sadrzi malware
ranjivost lezi samo u tom procesu provere potpisa pri instalaciji APKa , ne moze na neki ne znam kakav magican nacin
da dozvoli pristup telefonu.

s druge strane, provera digitalno potpisanog koda se na androidu vrsi iskljucivo pri instalaciji
softvera, ne i pri pokretanju instaliranog koda , sto je s jedne strane cudno (omogucava da ja nakon instalacije inficiram aplikaciju necime a da ona radi bez problema), a s druge opravdano
jer hashiranje koda i provera potpisa pri svakom pokretanju mozda nebi bila bas dobra po bateriju i brzinu pokretanja :D

[ Dexic @ 06.07.2013. 10:31 ] @
Zasto je to cudno? Samo rootovan telefon moze da izmeni APK bez normalnog instalacionog procesa. Nije to nista cudno jer ne moze ni da pogodi normalan Android telefon. (izmena koda nakon instalacije)
[ Ivan Dimkovic @ 06.07.2013. 11:43 ] @
Citat:
EArthquake
jer hashiranje koda i provera potpisa pri svakom pokretanju mozda nebi bila bas dobra po bateriju i brzinu pokretanja :D


Svi moderni ARM-ovi danas imaju akceleraciju za kripto funkcije.

Da ucitas binary moras pa moras, nije nikakav dodatni penal da in-place izracunas kriptografski potpis i uporedis ga sa trusted bazom.

U pitanju je, jednostavno, nemar.

Neki drugi mobilni OS-evi proveravaju signature prilikom ucitavanja izvrsnih datoteka i imaju trajanje baterije na koje se malo ko zali.


[ bojan_bozovic @ 07.07.2013. 18:06 ] @
Ako ćemo već da teramo mak na konac, ni Windows ne testira hashove dll fajlova, što jeste sigurnosni propust. Možda to može da se promeni preko policy editora, no slaba je korist od toga, čim nije podrazumevana konfiguracija.
[ EArthquake @ 08.07.2013. 09:52 ] @
a evo i u cemu je konkretan bug

APK fajl je u stvari ZIP fajl, a u zip fajlu mogu da postoje dva fajla sa istim imenom

fora je da se pomocu apktool-a izvuce fajl koji treba promeniti, izvrsi se promena,
pomocu apktool-a se rebuilda apk , a onda dodaju potpisi i originalni fajlovi ...
problem je sto ce android u ovom slucaju proveriti potpis originalnog fajla, ali pri pokretanju aplikacije koristiti drugi, modifikovani fajl

TADA, mogu ja da drzim prezentaciju na BlackHat-u ? :)
[ Dexic @ 08.07.2013. 10:19 ] @
Ako je toliko prosto bug a do sada nije otkrivven..... cime se bave onda security experti?? Kao da su zaposleni u srpskom javnom preduzecu :D
[ Nedeljko @ 08.07.2013. 11:27 ] @
Izvini, a ko će da promeni taj APK fajl? Može li bez root privilegija?
[ Dexic @ 08.07.2013. 12:17 ] @
To sam vec rekao da ne moze bez root-a, ali ako je bug stvarno ovo sto EQ opisuje onda je moguce da se na Play Store-u pojavi APK sa laznim potpisom :)
[ Nedeljko @ 08.07.2013. 14:45 ] @
Znači, fora je da ja skinem originalni APK sa sistemskim ažuriranjem i da u njega pod istim imenom ubacim neki falš fajl, da ga okačim na Google Play.

E, sad mi nije jasno kako će androidov update sustem da povuče neki tamo bezvezni APK, pa makar imao sto Google-ovih pečata i potpisa, ali ako nije tamo gde on traži sistemske update-ove. Ne pretražuje valjda ceo Google Play ne bi li našao šta sve ima Google-ov potpis?
[ EArthquake @ 08.07.2013. 16:17 ] @
pa da, zato se i bunim oko ovog hype-a i FUD-a

najugrozeniji su ovde korisnici koji aplikacije instaliraju sa nekih levih marketa
ili "rucno", sto definitivno nije vecina korisnika


Citat:

Ako je toliko prosto bug a do sada nije otkrivven..... cime se bave onda security experti?? Kao da su zaposleni u srpskom javnom preduzecu :D


otkriven je jos pre nekog vremena, samo ga je lik cuvao kao 0day :)
ovi sad su ga otkrili nezavisno

a evo i koliko je komplikovano (nije moj kod naravno):
https://gist.github.com/poliva/36b0795ab79ad6f14fd8

[Ovu poruku je menjao EArthquake dana 08.07.2013. u 17:30 GMT+1]
[ Otto23 @ 08.09.2013. 02:35 ] @
@Dimke
Citat:
Prvo, NSA nema nikakvu potrebu da sebe kompromituje nekakvim exploitima koje izvaljuju bubuljicari po "black hat" konferencijama, posto na savrseno legalan nacin mogu da dobiju pristup telefonskim razgovorima i svim drugim podacima koje taj telefon komunicira sa mrezom.

Sve sto treba da urade je da lepo zamole telefonske operatere ili Google da im te podatke ustupe, ili da ih sami prikupe automatizovanim procedurama analize paketa koje imaju po kljucnim nodovima. I to je 100% nevidljivo za vlasnika telefona.

Drugo, sa ovim bagom NSA apsolutno nista ne dobija sto vec ne mogu da imaju na daleko cistiji nacin.

Citat:
Kao sto rekoh, NSA ima daleko cistije nacine da nekoga prisluskuje nego da mu instaliraju malware na telefon. Cak i da NSA mora da pribegne instalaciji malware-a postoje nacini da oni to urade koji ce uvek funkcionisati i nece biti ugrozeni nekim provaljivanjem od "black hat-ova".


Kao sto rekoh, NSA itekako ima poterebu da prisluskuje na sve moguce nacine - sto se iz prilozenog da videti - i to zamisli - bas hakovanjem:
Citat:
NSA can tap into BlackBerry, iOs, and Android systems – report

The US National Security Agency (NSA) can access data on smart phones using the world’s most popular systems including iOs, Android, and even BlackBerry - which markets itself to be highly secure, according to a new report.

The NSA has tapped into all the leading mobile operating systems to gain access to contact lists, SMS traffic, notes, and users’ current and past locations, Der Spiegel reported, citing internal NSA documents.

The leaked documents also reveal that the NSA has organized a working group for each operating system. The groups are responsible for clandestine operations to gather data saved on the phones.
‘Champagne!’: NSA boasts of successes

The NSA has reportedly been most successful in accessing iPhone user data, and at times has been able to hack into the computer used to sync with the mobile device. This allows the agency to run a mini-program dubbed “scripts,” which enables additional access to at least 38 more iPhone features.

The documents noted that similar successes took place using BlackBerry mobile devices. According to the report, 2009 was the only year that the NSA had a problem accessing BlackBerry data. The lack of access was due to changes in the way the company compressed data. But in March 2010, the NSA was able to hack back in, celebrating with the word “champagne!”

The spy agency also hacked its way into the BlackBerry’s mail system, which is known to be extremely secure. The reports may be damaging to the Canadian company, which has always stated that its mail system is impenetrable.

In response, BlackBerry officials said that they have not built a “back door pipeline” into the system and stated that it was not their place “to comment on media reports regarding alleged government surveillance of telecommunications traffic."

Spiegel noted that spying on smart phones has not been a mass surveillance operation. It said the tactic was only used on specific individuals and was done without the knowledge of the smart phone companies.

http://rt.com/news/nsa-smart-phones-spying-563/

Dakle upravo NSA ekipa se bavi hakovanjem i proizvodnjom mailware-a - iako navodno, "NSA nema nikakvu potrebu da sebe kompromituje nekakvim exploitima" :)