TLV  |  LDN  |  NY
 
מסחר בבורסה בורסה מסחר בבורסה תחרות המשקיעים מסחר בבורסה

העמלות שלנו

העמלות שלנו

חדשות

גידול של כמעט פי 3 בגניבת רכבים חדשים מודל 2023

מערכת טלנירי | 28/9, 20:19
פוינטר מסכמת את רבעון 3 בגניבות רכב בישראל

אינטל וטאואר מודיעות על הסכם חדש להרחבת כושר ייצור

מערכת טלנירי | 5/9, 21:04
טאואר תרחיב את כושר הייצור שלה בטכנולוגיית 300 מ"מ באמצעות רכישת מכונות שיותקנו במפעל אינטל בניו מקסיקו, כמענה לביקושים גדלים של לקוחות החברה

מומחי אבטחה ביבמ זיהו פרצה באנדרואיד – והובילו לתיקונה


הקבוצה מפתחת את AppScan, אפליקציה מובילה בתעשייה, לסריקות ובדיקות אבטחת מידע, במהלך כל שלבי הפיתוח של יישומי Web ומובייל
מומחי אבטחה בקבוצת Application Security של יבמ, הפועלת במסגרת מעבדת התוכנה של יבמ בישראל, איתרו פרצת אבטחה בשירות הצפנה במערכת ההפעלה אנדרואיד, והובילו לתיקונה. הקבוצה מפתחת את AppScan, אפליקציה מובילה בתעשייה, לסריקות ובדיקות אבטחת מידע, במהלך כל שלבי הפיתוח של יישומי Web ומובייל.
לפני כעשרה חודשים, זיהה צוות בראשותו של רועי חי כי שירות KeyStore, אותו מנהלת מערכת ההפעלה, והעוסק בפרטים אישיים של המשתמש - חשוף לאיום המוכר כ"גלישת חוצץ" (Buffer Overflow - BO). הבעיה, שהתגלתה בקוד של שירות זה, יצרה מצב של פגיעות ואפשרות להאקרים לגנוב סיסמאות ושאר מידע סודי מהמכשיר הנייד.

על פי המדיניות הנהוגה ביבמ, דיווח הצוות תחילה על הפרצה לאנשי צוות האבטחה של אנדרואיד. כתוצאה מכך, פותח טלאי אבטחה מיוחד, הכלול במהדורה החדשה של מערכת ההפעלה, המוכרת כקיטקט. בשל אופי שחרור העדכונים למערכת ההפעלה, וסוג הסיכונים הגלומים בפרצה, החליטו ביבמ להמתין זמן נוסף לפני החשיפה הציבורית המלאה של הגילוי.

אנדרואיד מספקת שירות אחסון מאובטח ומוצפן. כל משתמש באנדרואיד מקבל איזור אחסון מאובטח משלו: החומר המאוחסן מוצפן בעזרת מפתח מאסטר הנוצר באופן אקראי. האחרון גם הוא מוצפן על הדיסק, בעזרת מפתח הנגזר מסיסמת מסך הנעילה.
בגרסאות עדכניות של אנדרואיד, ניתן לבצע גיבוי חומרה למפתחות דוגמת המפתח הפרטי בפרוטוקול RSA. כך, משמש מפתח האחסון המנוהל ברמת מערכת ההפעלה רק לצורך זיהוי המפתח המגובה על גבי החומרה. למרות תמיכת החומרה, מידע מסוים, דוגמת הרשאות הכניסה לרשת תקשורת פרטית וירטואלית (VPN) מסוג PPTP, עודנו מאוחסן על גבי הדיסק.
בתהליך הכתיבה וההצפנה של KeyStore, נוצר מאגר (Buffer) אליו יכולים לכתוב גם יישומים אחרים. כך, עלול גם צד שלישי בלתי מורשה לשלוט בשם מפתח ההצפנה אשר נכתב על ה-Buffer, ולגרום ל -Overflow, אשר יכול, באופן תיאורטי, לאפשר לצד השלישי להריץ קוד בתוך התהליך של KeyStore.
הפרצה עלולה להיות מנוצלת על ידי יישום זדוני, בתנאי שמפתחיו ידעו להתגבר גם על מספר הגנות ומכשולים נוספים.
במידה והתקיפה הצליחה, ניתן בין השאר לגנוב את סיסמת הנעילה של המסך, לפענח מידע מוצפן על גבי הדיסק בעזרת מפתחות הנשלפים לצורך העבודה השוטפת ומנוהלים בזיכרון הפנימי של המערכת, ולחתום בעזרת המפתח הפרטי של המשתמש על מידע שרירותי.
הפרצה אותה זיהו מומחי יבמ קיימת בכל גרסאות אנדרואיד מ- 4.3 ומטה (כ-86% מכלל המכשירים, נכון להיום) לאחר הצגת הבעיה, שוחרר בנובמבר אשתקד עדכון תוכנה על ידי צוות האבטחה של אנדרואיד. המהדורה החדשה של מערכת ההפעלה, 4.4 (המוכרת בשם הקוד קיטקט), כבר אינה פגיעה לאיומי פרצה זו.


טלנירי מציעה לך את מגוון השירותים תחת קורת גג אחת!

פתיחת חשבון למסחר בארץ ובארה"ב, שירותי איתותים לישראל, ארה"ב והמעו"ף, שירות החזרי מס, תוכנת ניתוח טכני ועוד... השאר את פרטיך ונחזור אליך בהקדם

שם מלא*: טלפון*: דוא"ל:


RSS

כתבות נוספות

- מידע פיננסי לפני כולם  © כל הזכויות שמורות  |  משרד ראשי: יגאל אלון 94, תל-אביב  |  073-250-5855  |  info@talniri.co.il