Amazon versucht, Sicherheitslücken geheim zu halten.
Sicherheitsanfälligkeiten keine ernste Gefahr
Ausführung 4.6.1 für Fire O im Mai dieses Jahres veröffentlicht wurde. Dieses Betriebssystem ist auf dem Feuer Telefon verwendet. Seit seiner Veröffentlichung haben Amazon über alle Bugs ruhig gewesen auf das Android-basierte Betriebssystem im Zusammenhang zu informieren. Der Schwerpunkt des Unternehmens war, Na sicher, die neuen Features, sowie ihre verbesserte Funktionalität. Diese, jedoch, bedeutet nicht, dass seine Entwickler haben nicht viel zu tun Suche und Behebung von Fehlern im System. Mindestens drei Sicherheitslücken wurden seit der Veröffentlichung des neuen OS fixieren. Das Risiko, das sie für die Nutzer gestellt wurden geschätzt Medium zu niedrig sein. Alle diese Risiken wurden von MWR entdeckt, ein Sicherheitsberatungsunternehmen.
ADB-Verbindung Vulnerability
Dies ist eine geringe Verwundbarkeit, was bedeutet, dass es sehr unwahrscheinlich ist, dass die Nutzer davon betroffen sind. Diese Sicherheitsaufsicht kann nur ausgenutzt werden, wenn USB-Debugging auf dem Gerät aktiviert ist, Das ist nicht der Fall für die meisten Benutzer.
Android Debug Bridge (ADB), eine Befehlszeile, die den Benutzern helfen können beim Debuggen oder die Entwicklung von, erhalten die Benutzer Zugriff auf Daten auf dem Gerät, sowie Zugriff auf Funktionen. Es ist sehr unwahrscheinlich, dass der durchschnittliche Benutzer USB-Debugging eingeschaltet haben. Aber wenn das der Fall wäre, Angreifer wäre in der Lage zu installieren und deinstallieren Sie dann alle Anwendungen auf dem Gerät, Zugriff auf ein hohes Privileg Schale, Umgehung des Sperrbildschirm, und stehlen Daten und Einstellungen von der Vorrichtung.
Installation von TLS-Zertifikaten
Die beiden anderen Flüchtigkeitsfehler werden als Medium Ebene Bedrohung für die Nutzer als. Beide haben mit der Installation von TLS-Zertifikaten zu tun, was ohne dass Benutzer sich etwas zu tun mit dem Prozess passieren kann. Wenn ein TLS-Zertifikat installiert ist, jedoch, eine Benachrichtigung werden aufgefordert,. Dies ist ein deutliches Zeichen, dass die Vorrichtung kompromittiert wurde. Wenn Sie eine Benachrichtigung aus heiterem Himmel bekommen sagen „Certificate Installed“, dann sollten Sie Aktion auf einmal nehmen und loswerden dieses Zertifikat erhalten. Es besteht die Möglichkeit, dass es bereits einige bösartige App auf Ihrem Gerät, so haben Sie für das überprüfen, auch, und entfernen Sie es, wenn es vorhanden ist.
Was macht diese Anfälligkeiten schwerer ist die Tatsache, dass sie die Möglichkeit für Man-in-the-Middle-Angriffe eröffnen. Dies bedeutet, dass Hacker können, dass das Abfangen verschlüsselt, dass Sie übertragen, wenn sie mit Ihren Anwendungen die Interaktion.
Es gibt einen Weg, durch die diese vermieden werden können - Zertifikat Pinning. Dies ist ein Validierungsmechanismus, der das Zertifikat Validierungsdaten gebündelt in der Anwendung hat. Und wenn alle Informationen von dem Server nicht irgendwie nicht korrelieren, dann wird die Verbindung abgebrochen. Jedoch, wenn der verschlüsselte Datenverkehr verwendet Zertifikat nicht Pinning, es kann dann über Man-in-the-Middle-Angriff geschnappt werden.
Das Update
Der einzige Weg, um diese Probleme zu beheben, ist das neue Patch zu installieren. Wir empfehlen Ihnen, dies so schnell wie möglich, wenn Sie die Probleme wollen gelöst werden.