security through false confidence!

[wizzard]

This vulnerability makes it possible to change an application’s code without affecting the cryptographic signature of the application – essentially allowing a malicious author to trick Android into believing the app is unchanged even if it has been.

Details of Android security bug 8219321 were responsibly disclosed through Bluebox Security’s close relationship with Google in February 2013. It’s up to device manufacturers to produce and release firmware updates for mobile devices (and furthermore for users to install these updates). The availability of these updates will widely vary depending upon the manufacturer and model in question.

The screenshot below demonstrates that Bluebox Security has been able to modify an Android device manufacturer’s application to the level that we now have access to any (and all) permissions on the device.

http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

все-таки я не верю, что они его допилят до юзабельного состояния. security надо-строить-снизу, а не сверху...

плюс, по описанию это вообще на бэкдор похоже, уж очень чисто работает.

и да, вы представляете, люди из liberationtech mailing list (ну там обсуждают всякие gentoo, tor, i2p и т.д.) примерно одновременно внезапно поняли, зачем же нужен UEFI/Secure Boot! он конечно упирается в доверие юзера к вендору, но, блин, проблема выбора вендора - это уже другой вопрос...