0 votos

k3b avatar

¿realmente funciona? cambiar la clave.aplicación pretende proteger contra la Clave Maestra de vulnerabilidades

Preguntado el 23 de Julio, 2013
Cuando se hizo la pregunta
694 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

La aplicación para android llaves afirma que se puede proteger el dispositivo android contra la "Llave Maestra" vulnerabilidades

en su sitio web tienen una prueba/proofOfConcept

To verify that your device has been patched, you can 
attempt to install a [PoC APK] to test whether it is properly 
blocked by ReKey."

Por primera vez instalado llaves (versión 1.0.4 de la fecha de julio 21 de 2013) y, a continuación, PoC APK pero no obtuvo advertencia de que es PoC no aceptar.

  • ¿Significa eso que hace cambiar la clave no funciona en absoluto?
  • O no funciona en mi android rooteado 2.2 smartfone?
  • O es PoC APK no es una prueba de concepto?

¿Cuál es tu experiencia/opción?

Se puede confirmar que funciona o no funciona en su dispositivo?

Preguntado el 23 de Julio, 2013 por k3b

Respuesta

¿Demasiados anuncios?

4voto

Nick Pierpoint avatar
Nick Pierpoint Puntos 7976

Yo estaría muy preocupado de allí!

La llave maestra de la vulnerabilidad explotar obras en el manejo de ZipEntry (ver más abajo - Bug 8219321), que está enterrado profundamente en la ROM en sí, su uso en la PackageManager capa así.

Para una aplicación de este tipo que decía que "el parche", es engañosa y falsa, porque es una aplicación de usuario y no a nivel de sistema.

La verdadera cura para conseguir alrededor de la vulnerabilidad es modificar el código fuente de Android en sí mismo y reconstruir la ROM.

La vulnerabilidad explota ROMs de Donut (1.6) derecho a Jellybean (4.2).

En el FAQ de la aplicación del sitio web - esto hizo que mis pelos de pie:

Puedo confiar las Llaves con el acceso root en mi dispositivo?

¿Has visto los sellos de arriba? Se ven bastante oficiales y digno de confianza. Tienen latina frases y todo.

Realmente no sé si reír o llorar!

Dinámicamente parchear el código de bytes en el Android Java DalvikVM (motor de tiempo de ejecución para los no iniciados) es inaudito.

Veredicto:

Me gustaría tener los llamados "las reclamaciones de un nivel de usuario de la aplicación" aplicación de parches en la llave maestra de explotar, con una pizca de sal y no se deje engañar por ella.

Fuente:

Parches:

  • Error: 8219321 - Eliminar las entradas duplicadas en el Zip.
  • Error: 9695860 - unsigned Postal de Entradas.
Respondido el 23 de Julio, 2013 por Nick Pierpoint (7976 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X