0 votes

Cela fonctionne-t-il vraiment ? rekey.app prétend protéger contre les vulnérabilités de la clé maîtresse.

L'application Android refaire la clé affirme qu'il peut protéger les appareils Android contre les vulnérabilités de type "Master Key".

sur leur site web ils ont un test/preuve de concept

To verify that your device has been patched, you can 
attempt to install a [PoC APK] to test whether it is properly 
blocked by ReKey." 

J'ai d'abord installé refaire la clé (version 1.0.4 datant du 21 juillet 2013) et ensuite PoC APK mais je n'ai pas été averti que le PoC n'était pas autorisé.

  • Est-ce que cela signifie que le rekey ne fonctionne pas du tout ?
  • Ou est-ce que ça ne fonctionne pas sur mon smartfone Android 2.2 enraciné ?
  • Ou est-ce que PoC APK pas une preuve de concept ?

Quelle est votre expérience/option ?

Pouvez-vous confirmer que cela fonctionne ou ne fonctionne pas sur votre appareil ?

4voto

Nick Pierpoint Points 7976

Je serais extrêmement inquiet là-bas !

L'exploitation de la vulnérabilité MasterKey fonctionne dans la gestion de ZipEntry (voir ci-dessous - Bug 8219321), qui est enfouie profondément dans la ROM elle-même, elle est également utilisée dans la couche PackageManager.

Pour une telle application qui revendique " pour corriger "Il est trompeur et faux, car il s'agit d'une application utilisateur et non d'une application système.

Le véritable remède pour contourner la vulnérabilité consiste à modifier le code source d'Android en lui-même et à reconstruire la ROM.

La vulnérabilité exploite les ROMs depuis Donut (1.6) jusqu'à Jellybean (4.2).

Dans la FAQ de l'application sitio web - ça m'a fait dresser les cheveux :

Puis-je confier à ReKey l'accès Root sur mon appareil ?

Vous avez vu ces scellés en haut ? Ils ont l'air sacrément officiels et dignes de confiance. Ils ont des phrases en latin et tout.

Je ne sais vraiment pas si je dois rire ou pleurer !

Le fait de Parcheando dynamiquement le bytecode dans le Java DalvikVM (moteur d'exécution pour les non-initiés) d'Android est inédit.

Verdict :

Je prendrais ces soi-disant "revendications d'une application au niveau de l'utilisateur" Parcheando dans l'exploit Masterkey, avec une pincée de sel et ne pas se laisser berner par elle.

Source : :

Patchs :

  • Bug : 8219321 - Supprimez les entrées en double dans Zip.
  • Bug : 9695860 - Entrées zip non signées.

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X