Urządzenia BlackBerry z OS 10 zawierają lukę pozwalającą na instalację złośliwego oprogramowania

16 października, 2014

BlackBerry łata lukę w urządzeniach działających pod kontrolą systemu BlackBerry 10. Wykryta podatność pozwala na przechwycenie ruchu użytkownika „z, oraz do” sklepu z aplikacjami BlackBerry World i instalację złośliwego oprogramowania na podatnym urządzeniu.

Na atak podatna jest część systemu odpowiedzialna za sprawdzanie integralności i kompatybilności pobieranych apek. W momencie, gdy atakujący jest w stanie przeprowadzić atak man-in-the-middle, pomiędzy użytkownikiem a BlackBerry World może dojść do podmiany aplikacji pochodzącej ze sklepu na malware. BlackBerry informuje, że usterka dotyczy wyłącznie urządzeń z systemem BlackBerry 10 i zaleca jak najszybszą instalację najnowszej wersji aplikacji BlackBerry World.

„Istnieje luka w mechanizmie pobierania aplikacji z BlackBerry World na urządzeniach z BlackBerry 10. BlackBerry World pozwalana na wyszukiwanie i pobieranie aplikacji na urządzenia BlackBerry. BlackBerry World posiada system sprawdzania integralności aplikacji i metodę bezpiecznego pobierania, które mają zapewnić, że aplikacja zostanie prawidłowo pobrana i zainstalowana”, informuje doradca BlackBerry.

W niektórych przypadkach, niedopracowanie tych metod w połączeniu z atakiem man-in-the-middle może pozwolić atakującemu na przechwycenie pobieranej aplikacji i w rezultacie zainstalowanie złośliwego oprogramowania na urządzeniu. Udane wykorzystanie luki pozwala atakującemu na uzyskanie dostępu do danych i ustawień, które są dostępne na podstawie uprawnień, jakie podczas instalacji użytkownik zaakceptuje dla danej aplikacji.

Luka dotyczy oprogramowania w wersji 10.2, 10.2.1 oraz 10.3 z aplikacją BlackBerry World. Jak podaje producent, komunikacja użytkownika z BlackBerry World odbywa się teraz z wykorzystaniem protokołu SSL, który pomaga w ochronie przed atakami man-in-the-middle.

źródło: threatpost

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]