Błąd w kodzie Androida umożliwia podgląd zawartości pamięci

Błąd w kodzie Androida umożliwia podgląd zawartości pamięci

Błąd w kodzie Androida umożliwia podgląd zawartości pamięci
Piotr Maciejko
26.06.2015 20:30

Kwota oferowana przez Google za zgłoszenie luki bezpieczeństwa w kodzie Androida, okazała się być wystarczająco wysoka, aby zachęcić do pracy wielu zdolnych programistów. W rezultacie ich działania został wykryty błąd powodujący awarię debbugera, który po zakończeniu działania odsłania zawartość dowolnego fragmentu pamięci. Całość jest powodowana niedoróbką w mechanizmie dodawania dwóch łańcuchów znaków, który potrafiłby odpowiednio zareagować w przypadku naruszenia ochrony pamięci.

Wykryta luka dotyczy wszystkich wersji systemu od Ice Cream Sandwich do Lollipop, aczkolwiek ma umiarkowany wpływ na bezpieczeństwo systemu. Potencjalny napastnik nie ma możliwości zdalnego wykonania kodu przy użyciu opisywanej podatności. W tym celu należałoby zastosować dodatkowe formy ataku, które w połączeniu z informacjami widocznymi po awarii debbugera, mogłyby okazać się dość niebezpieczne. Okazuje się bowiem, że odpowiednie manipulacje drugim członem operacji łączenia łańcuchów znaków, który w tym przypadku pełni rolę przesunięcia (OFFSET), mogą zapewnić dostęp do zawartości dowolnego fragmentu pamięci.

Obraz

W przypadku Androida 5.0-5.1 luka ma bezpośredni związek z biblioteką libunwind, natomiast starsze wersje kryją podatność w plikach system/core/libcorkscrew/symbol_table.c (Android 4.1-4.4) oraz system/core/debuggerd/symbol_table.c (Android 4.0). Błąd powodowany odpowiednio spreparowanym plikiem ELF nie występuje w najnowszej wersji systemu Android M. Zgłoszenie dotyczące opisywanej luki bezpieczeństwa wpłynęło do Google około 27 kwietnia bieżącego roku, natomiast stosowna łatka pojawiła się w Android Open Source Project (AOSP) już 15 maja.

Projekt firmy Google mający na celu zwiększyć bezpieczeństwo Androida zaczyna przynosić rezultaty. Każdy system operacyjny posiada mnóstwo luk i błędów, które mogą narazić użytkowników na złośliwą działalność cyberprzestępców. W walce z potencjalnymi napastnikami może pomóc jedynie zdrowy rozsądek i sprawne wykrywanie oraz szybkie łatanie podatności.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (55)