Google Android حتى 4.2 APK Package Signature تشفير ضعيف ⚔ [متنازع عليه]
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
الملخص
هناك ثغرة تم تصنيفها كـ خطيرة تم اكتشافها في Google Android. تتعلق المشكلة بوظيفة غير معروفة في المكون APK Package Signature Handler. ينتج عن التلاعب حدوث تشفير ضعيف. تحمل هذه الثغرة المعرف CVE-2013-4787. هنالك إكسبلويت متوفرة. بسبب سمعة الشركة وخلفيتها هذه الثغرة قد تسبب تأثير تاريخي. وجود هذه الثغرة الأمنية هو أمر مشكوك به في الوقت الحالي. يُنصح بتطبيق تصحيح لإصلاح هذه المشكلة.
التفاصيل
هناك ثغرة تم تصنيفها كـ خطيرة تم اكتشافها في Google Android. تتعلق المشكلة بوظيفة غير معروفة في المكون APK Package Signature Handler. ينتج عن التلاعب حدوث تشفير ضعيف. عند استخدام CWE لتحديد المشكلة، سيتم التوجيه إلى CWE-310. المشكلة تمت مشاركتها بتاريخ 03/07/2013 بواسطة Jeff Forristal مع Bluebox Security كـ Android Security Bug 8219321 كـ Blog Post (موقع إلكتروني). يمكنك تنزيل التنبيه من bluebox.com. تم التنسيق مع البائع قبل النشر العلني. إذا كان هناك محتوى، فإن الإفصاح يحتوي على ما يلي:
[A] vulnerability in Android’s security model that allows a hacker to modify APK code without breaking an application’s cryptographic signature, to turn any legitimate application into a malicious Trojan, completely unnoticed by the app store, the phone, or the end user. (…) This vulnerability, around at least since the release of Android 1.6 (codename: “Donut” ), could affect any Android phone released in the last 4 years – or nearly 900 million devices – and depending on the type of application, a hacker can exploit the vulnerability for anything from data theft to creation of a mobile botnet.
تحمل هذه الثغرة المعرف CVE-2013-4787. تم تعيين CVE في 09/07/2013. التفاصيل التقنية غير متوفرة. شعبية هذه الثغرة أعلى من المتوسط. هنالك إكسبلويت متوفرة. تم الكشف عن الاستغلال للعامة وقد يتم استخدامه. مشروع ميتري اتاك يصنف اسلوب الهجوم هذا على انه T1600. بسبب سمعة الشركة وخلفيتها هذه الثغرة قد تسبب تأثير تاريخي. تلفت النشرة الانتباه إلى:
All Android applications contain cryptographic signatures, which Android uses to determine if the app is legitimate and to verify that the app hasn’t been tampered with or modified. This vulnerability makes it possible to change an application’s code without affecting the cryptographic signature of the application – essentially allowing a malicious author to trick Android into believing the app is unchanged even if it has been.
إذا تم تحديد إثبات المفهوم، فإنه يُعلن كـ إثبات المفهوم. يمكن تحميل الاستغلال من gist.github.com. لكونها ثغرة هجوم فوري متوسط سعرها كان$25k-$100k. إذا كان Installation of a Trojan application from the device manufacturer can grant the application full access to Android system and all applications (and their data) currently installed. The application then not only has the ability to read arbitrary application data on the device (email, SMS messages, documents, etc.), retrieve all stored account & service passwords, it can essentially take over the normal functioning of the phone and control any function thereof (make arbitrary phone calls, send arbitrary SMS messages, turn on the camera, and record calls). Finally, and most unsettling, is the potential for a hacker to take advantage of the always-on, always-connected, and always-moving (therefore hard-to-detect) nature of these “zombie” mobile devices to create a botnet. غير فارغ، فإن التنويه يلفت الانتباه إلى:
Installation of a Trojan application from the device manufacturer can grant the application full access to Android system and all applications (and their data) currently installed. The application then not only has the ability to read arbitrary application data on the device (email, SMS messages, documents, etc.), retrieve all stored account & service passwords, it can essentially take over the normal functioning of the phone and control any function thereof (make arbitrary phone calls, send arbitrary SMS messages, turn on the camera, and record calls). Finally, and most unsettling, is the potential for a hacker to take advantage of the always-on, always-connected, and always-moving (therefore hard-to-detect) nature of these “zombie” mobile devices to create a botnet.وجود هذه الثغرة الأمنية هو أمر مشكوك به في الوقت الحالي.
إذا تمت الترقية إلى الإصدار 2013-07-07، يمكن معالجة هذه المشكلة. إذا كان هناك Apple iOS/Microsoft Windows Phone، فإن بديلًا ممكنًا هو Apple iOS/Microsoft Windows Phone. يُنصح بتطبيق تصحيح لإصلاح هذه المشكلة. جاء في التحذير ما يلي:
It’s up to device manufacturers to produce and release firmware updates for mobile devices (and furthermore for users to install these updates). The availability of these updates will widely vary depending upon the manufacturer and model in question.
الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 60952), X-Force (85500) , Vulnerability Center (SBV-42084).
منتج
النوع
المجهز
الأسم
النسخة
- 1.6
- 2.0
- 2.0.1
- 2.1
- 2.2
- 2.2.1
- 2.2.2
- 2.2.3
- 2.3.1
- 2.3.2
- 2.3.3
- 2.3.4
- 2.3.5
- 2.3.6
- 2.3.7
- 3.0
- 3.2.1
- 3.2.2
- 3.2.4
- 3.2.6
- 4.0
- 4.0.1
- 4.0.2
- 4.0.3
- 4.0.4
- 4.1
- 4.1.2
- 4.2
الرخصة
موقع إلكتروني
- المجهز: https://www.google.com/
CPE 2.3
CPE 2.2
لقطة شاشة
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 8.1VulDB الدرجة المؤقتة للميتا: 7.3
VulDB الدرجة الأساسية: 8.1
VulDB الدرجة المؤقتة: 7.3
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: تشفير ضعيفCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
المؤلف: Jeff Forristal
تحميل: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: تصحيحالحالة: 🔍
زمن الهجوم الفوري: 🔍
وقت تأخير الاستغلال: 🔍
ترقية: Android 2013-07-07
بديل: Apple iOS/Microsoft Windows Phone
الجدول الزمني
01/02/2013 🔍03/07/2013 🔍
03/07/2013 🔍
04/07/2013 🔍
09/07/2013 🔍
09/07/2013 🔍
01/08/2013 🔍
24/10/2013 🔍
11/06/2024 🔍
المصادر
المجهز: google.comاستشارة: Android Security Bug 8219321
باحث: Jeff Forristal
منظمة: Bluebox Security
الحالة: غير معرفة
منسق: 🔍
متنازع عليه: 🔍
CVE: CVE-2013-4787 (🔍)
GCVE (CVE): GCVE-0-2013-4787
GCVE (VulDB): GCVE-100-9315
X-Force: 85500
SecurityFocus: 60952
OSVDB: 94773
Vulnerability Center: 42084 - Google Android 1.6 - 4.2 Remote Code Execution Vulnerability Using Master Key to Change APK Code, Critical
scip Labs: https://www.scip.ch/en/?labs.20150917
متفرقات: 🔍
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 04/07/2013 11:22 AMتم التحديث: 11/06/2024 11:56 AM
التغييرات: 04/07/2013 11:22 AM (70), 14/05/2017 09:34 AM (18), 11/06/2024 11:56 AM (17)
كامل: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق