Security Week 09: кто отвечает за безопасность Android?
Сразу несколько новостей прошлой недели касались безопасности платформы Android. Наибольший интерес представляет исследование безопасности смартфона Samsung, проведенное командой Google Project Zero. В модели Samsung Galaxy A50 (возможно, и в других тоже, но это не проверялось) производитель встроил в ядро Linux собственный код, отвечающий за аутентификацию процессов. Система Process Authenticator призвана усилить безопасность смартфона: при запуске приложений и системных служб она сверяет цифровую подпись.Проверяется относительно небольшое количество процессов. По уникальному формату подписи исследователь обнаружил всего 13 штук, среди них — сервисы для работы с Bluetooth и Wi-Fi. Эксперт из Google создал сценарий, при котором система Process Authenticator вызывается для «проверки» вредоносного приложения, а ряд уязвимостей в коде Samsung позволяет получить расширенные права. Приводится пример чтения данных из базы авторизованных на телефоне аккаунтов. Вывод из этого следующий: модифицировать ядро от поставщика (то есть от Google) — не всегда хорошая идея. И вот тут совершенно техническая статья переходит в плоскость политики и поднимает тему взаимодействия участников экосистемы Android: кто должен отвечать за безопасность софта, и не стоит ли разработчикам смартфонов ограничить модификацию кода в целях этой самой безопасности?
Читать дальше →
Источник: Хабрахабр
💬 Комментарии
В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.
🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.
💡 Хотите обсудить материал?
Присоединяйтесь к нашему Telegram-каналу:
https://t.me/blogssmartzНажмите кнопку ниже — и вы сразу попадёте в чат с комментариями