с поправкой на дыры в реализациях, секьюр бут дает возможность проверить подпись ядра ОС на предмет его поврежденности, что дает возможность выкашивать буткиты и построить цепочку доверия позволяющую в итоге надеяться, что скачалось то, что нужно.
без "точки с которой начинается проверка" легко укопаться глубже ОС, и дальше уже проверяй-не проверяй бесполезно.
По описанию непонятно ничего вообще, может там какие-то неподписываемые части в apk, или они использовали нестойкий алгоритм, или что-нибудь в этом духе.
по описанию похоже что либо дырка в validation logic (например SSL для CN="paypal.com\0.evil.com" можно было одно время получить для домена evil.com ну а из-за ASCIIZ он подходил для paypal.com)
либо класслоадер может грузить исполняемый код из областей не покрытых сигнатурой и давать ему те же права что и покрытым областям
по крайней мере такое мне кажется наиболее вероятным
я к тому что если делать что-то типа-секьюрное то надо делать и свое железо тоже, со своим аналогом секьюр бута если мы разрешаем установку сторонних приложений, ну вот и до них дошло что без сабжа против закладок бороться бессмысленно - "как юзеру проверить gpg сигнатуру скачанного дистра линуха, если сам gpg был скачан по http, даже если забыть про то, что сигнатуры качают 0.05% от тех кто качает дистры"
> как юзеру проверить gpg сигнатуру скачанного дистра линуха, если сам gpg был скачан по http
Не вижу чем ситуация "https ca сертификат в предустановленном internet explorer" так уж сильно отличается от такого же сертификата в секуребуте. Тем более что и то и другое контролируется примерно одними и теми же людьми
> Тем более что и то и другое контролируется примерно одними и теми же людьми вооот. грубо говоря, что осознали люди: "какой смысл пытаться установить линух+ какой-нибудь, я не знаю, тор на комп где была винда, если траст чейн все равно растет от Майкрософта"
а разница между "чейн растет от секуребута" и "чейн растет от SSL" в том, что SSL сертификат может получить любой долбоеб, перехватив письмо валидации к хостмастеру, после чего устроив mitm, например.
а сертификат секуребута вшивается на фабрике у вендора, которую тоже можно подхачить, но количество людей которые имеют доступ в ту точку всяко поменьше, не в последнюю очередь из-за physical security. не удивлюсь если чипы таки прошиваются в редмонде и уже потом едут в foxconn - иначе бы WP8 джейлбрейкнули уже.
Comments 27
А можно примеры? Что-то не сильно многие это поняли. Ну и для конкретно их целей эта закладка - вообще бесполезна
Reply
без "точки с которой начинается проверка" легко укопаться глубже ОС, и дальше уже проверяй-не проверяй бесполезно.
Reply
Reply
либо класслоадер может грузить исполняемый код из областей не покрытых сигнатурой и давать ему те же права что и покрытым областям
по крайней мере такое мне кажется наиболее вероятным
Reply
Reply
я к тому что если делать что-то типа-секьюрное то надо делать и свое железо тоже, со своим аналогом секьюр бута если мы разрешаем установку сторонних приложений, ну вот и до них дошло что без сабжа против закладок бороться бессмысленно - "как юзеру проверить gpg сигнатуру скачанного дистра линуха, если сам gpg был скачан по http, даже если забыть про то, что сигнатуры качают 0.05% от тех кто качает дистры"
Reply
Не вижу чем ситуация "https ca сертификат в предустановленном internet explorer" так уж сильно отличается от такого же сертификата в секуребуте. Тем более что и то и другое контролируется примерно одними и теми же людьми
Reply
вооот. грубо говоря, что осознали люди:
"какой смысл пытаться установить линух+ какой-нибудь, я не знаю, тор на комп где была винда, если траст чейн все равно растет от Майкрософта"
а разница между "чейн растет от секуребута" и "чейн растет от SSL" в том, что SSL сертификат может получить любой долбоеб, перехватив письмо валидации к хостмастеру, после чего устроив mitm, например.
а сертификат секуребута вшивается на фабрике у вендора, которую тоже можно подхачить, но количество людей которые имеют доступ в ту точку всяко поменьше, не в последнюю очередь из-за physical security. не удивлюсь если чипы таки прошиваются в редмонде и уже потом едут в foxconn - иначе бы WP8 джейлбрейкнули уже.
Reply
(The comment has been removed)
Reply
(The comment has been removed)
Reply
PS Что-то по security почитать можешь посоветовать?
Reply
Reply
Reply
Leave a comment