The Power of One e-book: Principais razões para escolher o HP BladeSystem
Google Android permite que o malware para se mascarar como legítimas, aplicativos confiáveis graças a deficiências na forma como o sistema operacional verifica certificados digitais de autenticidade.
A falha, apelidado Fake ID por seus descobridores em Bluebox Segurança, afeta todas as versões do Android de 2.1 (lançado em 2010) até o Android 4.4. Embora o Google lançou um patch em abril, é temido milhões de handhelds ainda correm o risco de nem todos os fabricantes de gadgets têm empurrado para fora do patch.
"A correção foi feita para muitas das versões 4.x e as correções foram enviados para fabricantes de dispositivos", Jeff Forristal, diretor de tecnologia da BlueBox, disse ao The Register.
"Neste momento, cabe ao critério do dispositivo de fabrica como quando aplicar essa atualização. Google não pode controlar um ecossistema aberto, da mesma forma que a Apple pode com seu modelo fechado".
O problema Fake ID é devido à fraqueza na maneira como os aplicativos podem ser confiáveis por sua cadeia de certificação: um fornecedor como Adobe pode assinar digitalmente um aplicativo para provar, criptografia, que construiu o software e que é legítimo.
Bluebox descobriu que um meliante pode criar o seu próprio certificado de identidade, afirmam falsamente de ter sido assinado pela Adobe como confiável, e, em seguida, usar esse certificado de identidade para assinar um pedaço de software malicioso. Esse malware, para Android, agora se parece com código Adobe confiável eo sistema operacional permite que ele seja executado com privilégios especiais, sem perguntas.
Isso é perfeitamente possível, porque o processo de verificação é incompleta: ela simplesmente não verifica-se a cadeia de verificar, neste caso, que a Adobe realmente emitir o certificado.
Por exemplo, um invasor pode explorar este bug para permitir que alguns malwares para se mascarar como um webview plugin Adobe. O sistema confia plugins WebView Adobe, como o Flash, e lhes permite instalar e executar. Programas que pretendem ser Adobe plugins tem o poder de inserir código em aplicativos, Bluebox explicou. Nesse ponto, os dados pessoais podem ser desviados, ou pior.
Perfurado na carteira
Bluebox também diz que sistema de pagamento da carteira própria do Google é suscetível ao ataque Fake ID. O código malicioso pode colher números de cartão de crédito, para ser franco.
"Nós apreciamos Bluebox responsável relatar essa vulnerabilidade para nós; pesquisa de terceiros é uma das maneiras Android é feita mais forte para os usuários", um porta-voz do Google disse El Reg em um comunicado enviado por email.
"Depois de receber a notícia dessa vulnerabilidade, rapidamente lançou um patch que foi distribuído aos parceiros Android, bem como a AOSP. Google Play e Verificar Apps também foram aprimorados para proteger os usuários contra esta questão. Neste momento, temos todos digitalizados candidaturas apresentadas ao Google Play, bem como aqueles Google reviu de fora do Google Play e temos visto nenhuma evidência de tentativas de exploração dessa vulnerabilidade. "
Que o Google lançou um patch e está verificando jogo para as inscrições é bem-vinda, mas que ainda deixa uma piscina considerável de aparelhos lá fora, que ainda são vulneráveis. Bluebox construiu uma aplicação para testar a falha e tem um par de idéias para aqueles que ainda não tenho o patch.
"Em primeiro lugar, afastar-se de lojas de aplicativos não autorizados ou mercados que oferecem versões rachadas de código e só levar aplicativos de fontes confiáveis", Forristal aconselhado.
"Além disso, se o seu telefone está sem correção, então você precisa para fazer um inquérito de atendimento ao cliente para o fabricante do telefone e sua operadora e colocar pressão sobre uma atualização de rede. Manter a pressão sobre ambas as partes para motivar a fazer parte do ciclo de lançamento, em vez do que ser indiferente sobre isso. " ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário