Amazon essaie de garder des bogues de sécurité secrète.
Vulnérabilités Pas de danger grave
Version 4.6.1 pour Fire OS a été publié en mai. Ce système d'exploitation est utilisé sur le téléphone d'incendie. Depuis sa sortie Amazon a été calme sur l'information au sujet des bugs liés au système d'exploitation basé sur Android. L'objectif principal de la société a été, bien sûr, les nouvelles fonctionnalités, ainsi que sa fonctionnalité améliorée. Cette, cependant, ne signifie pas que ses développeurs ont pas été occupés à la recherche et la correction de bugs sur le système. Au moins trois failles de sécurité ont été corrigés depuis la sortie du nouveau système d'exploitation. Le risque qu'elles représentent pour les utilisateurs ont été estimés à faible à moyen. Tous ces risques ont été découverts par MWR, une société de conseil en sécurité.
La vulnérabilité de la BAD Connection
Ceci est une vulnérabilité faible niveau, ce qui signifie qu'il est très peu probable que les utilisateurs ont été touchés par ce. Cette surveillance de la sécurité ne peut être exploitée que si le débogage USB est activé sur votre appareil, qui n'est pas le cas pour la plupart des utilisateurs.
Android Debug Bridge (BAD), une ligne de commande qui peut aider les utilisateurs lors du débogage ou le développement, accorde aux utilisateurs l'accès aux données sur l'appareil, ainsi que l'accès à la fonctionnalité. Il est très peu probable que les utilisateurs moyens auront le débogage USB sous tension. Mais si tel était le cas, alors les attaquants seraient en mesure d'installer et de désinstaller des applications sur l'appareil, accès à un obus de privilège, contourner l'écran de verrouillage, et voler des données et des paramètres de l'appareil.
Installation de certificats TLS
Les deux autres sont considérés comme des oublis une menace de niveau moyen pour les utilisateurs. Les deux ont à voir avec l'installation des certificats TLS, qui peut se produire sans que les utilisateurs à quoi que ce soit avec le processus. Lorsqu'un certificat TLS est installé, cependant, une notification sera invité. Ceci est un signe évident que le dispositif a été compromise. Si vous recevez une notification sur le bleu disant « certificat installé », alors vous devriez prendre des mesures à la fois et de se débarrasser de ce certificat. Il y a une possibilité qu'il existe déjà une application malveillante sur votre appareil, donc vous devez vérifier que, aussi, et l'enlever si elle est présente.
Ce qui rend ces vulnérabilités plus grave est le fait qu'ils ouvrent la possibilité pour les attaques man-in-the-middle. Cela signifie que les pirates peuvent intercepter chiffré que vous transférez lors de l'interaction avec vos applications.
Il existe un moyen par lequel cela peut être évité - épinglage certificat. Ceci est un mécanisme de validation qui a les données de validation des certificats empaquetés dans l'application. Et si toutes les informations du serveur ne correspond pas en quelque sorte, la connexion est interrompue. Cependant, si le trafic crypté n'utilise pas le certificat épinglant, alors il peut se faire happer par l'homme-in-the-middle.
La mise à jour
La seule façon de résoudre ces problèmes est d'installer le nouveau patch. Nous vous recommandons de le faire le plus tôt possible si vous voulez que les problèmes à résoudre.