Бутлоадеры ряда производителей Android-устройств признаны небезопасными
Главная » Новости

Бутлоадеры ряда производителей Android-устройств признаны небезопасными

Александр Панасенко 04 Сентября 2017 - 16:23
...
Бутлоадеры ряда производителей Android-устройств признаны небезопасными

Команда из девяти специалистов из Калифорнийского университета в Санта-Барбаре представила на конференции Usenix интересный доклад (PDF), посвященный безопасности бутлоадеров ведущих производителей. В итоге исследователи нашли семь уязвимостей, нарушающих цепочку доверия (Chain of Trust, CoT), а с ней и безопасность первоначального порядка загрузки.

Android-бутлоадеры, по сути, являются «серой областью», изучать которую довольно сложно в силу закрытости исходных кодов и отсутствия метаданных. Поэтому большую часть времени специалисты потратили на создание инструмента BootStomp, предназначенного специально для тестирования и анализа бутлоадеров и облегчающего реверс-инжиниринг, пишет xakep.ru.

Аналитики объясняют, что задача BootStomp заключается в автоматическом обнаружении уязвимостей, связанных с использованием атакующими энергонезависимой памяти, которой доверяет код бутлоадера. Таким образом, BootStomp помогает автоматизировать поиск багов и обнаружить проблемные области, которые затем проверяют люди. Используя данную методику, специалисты сумели обнаружили семь уязвимостей, лишь одна из которых была известна ранее (CVE-2014-9798). Остальные шесть багов оказались новыми, что уже признали сами производители. Суммарно команда специалистов из Калифорнийского университета проверила пять бутлоадеров четырех разных производителей:

  • Huawei / HiSilicon чипсет [Huawei P8 ALE-L23];
  • NVIDIA Tegra чипсет [Nexus 9];
  • MediaTek чипсет [Sony Xperia XA];
  • Qualcomm новый LK бутлоадер;
  • Qualcomm старый LK бутлоадер.

«Некоторых из [найденных нами] уязвимостей могут позволить атакующему выполнить произвольный код в виде части бутлоадера (что компрометирует всю цепочку доверия), или осуществить перманентную DoS-атаку. Наш инструмент также идентифицировал два бутлоадера, уязвимости в которых могут быть использованы атакующим с root-привилегиями на уровне ОС для разблокировки устройства и компрометации CoT», — пишут исследователи.

Специалистами было известно, что старый бутлоадуер Qualcomm LK уязвим перед проблемой CVE-2014-9798, и BootStomp повторно обнаружил данный баг, тем самым позволив команде убедиться в том, что инструмент работает как должно. В итоге исследование выявило уязвимость в продуктах NVIDIA и еще пять багов в бутлоадерах HiSilicon. Результаты тестов приведены в таблице ниже.

Следующая главная новость »
AM LiveИтоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Платежи по картам и СБП могут замедлиться из-за Росфинмониторинга
Яков Шпунт 19 Декабря 2025 - 10:52
Соответствие законодательству РФ Общее Защита от мошенничестваБезопасность платежейСоответствие требованиям регуляторов
Платежи по картам и СБП могут замедлиться из-за Росфинмониторинга

Передача сведений в Росфинмониторинг о платежах через Систему быстрых платежей и по банковским картам может привести к замедлению проведения операций. Введение новых требований оперативного надзора способно снизить скорость безналичных расчетов, а также повысить риск излишне жёсткого применения регуляторных норм, из-за чего часть транзакций может отклоняться.

Такую оценку высказал в комментарии для «Газеты.Ru» старший преподаватель кафедры банковского дела университета «Синергия» Дмитрий Ферапонтов.

По его словам, наибольшие сложности вероятны в так называемый «настроечный период», когда участники рынка будут адаптироваться к новым требованиям.

Росфинмониторинг получил дополнительные полномочия в рамках федерального закона, одобренного Госдумой 9 декабря. Документ вступит в силу с 1 сентября 2026 года. Порядок обмена данными должен быть закреплён отдельным соглашением между Росфинмониторингом и НСПК после его утверждения Банком России.

Ранее обязанность по передаче информации о платежах лежала на банках. Такая практика неоднократно подвергалась критике со стороны кредитных организаций из-за высокой административной нагрузки и сложности исполнения требований.

AM LiveИтоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »
VK Tech представила систему «Проекты VK WorkSpace» для командной работы
Новость
VK Tech представила систему «Проекты VK WorkSpace» для коман...
В VK WorkSpace появится суперапп с офлайн-режимом и защитой по ГОСТ
Новость
В VK WorkSpace появится суперапп с офлайн-режимом и защитой...
Операторов обяжут использовать только российские сим-карты
Новость
Операторов обяжут использовать только российские сим-карты

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.