פגיעויות במערכת הפעלת האש 4.6.1 עכשיו קבוע

פגיעויות במערכת הפעלת האש 4.6.1 עכשיו קבוע

אמזון מנסה לשמור באגים ביטחון חשאיים.

פגיעויות לא מהווה סכנה חמורה

גרסה 4.6.1 עבור Fire OS שוחרר בחודש מאי השנה. OS זו משמשת על טלפון האש. מאז השקתו אמזון כבר שקט על המודיע על כל הבאגים הקשורים למערכת הפעלה מבוססת אנדרואיד. המוקד העיקרי של החברה היה, כמובן, התכונות החדשות, כמו גם פונקציונלי המשופר שלה. זה, למרות זאת, אין זה אומר כי המפתחים שלה לא היו עסוקים מחפשים ותיקון באגים במערכת. לפחות שלוש חולשות אבטחה תוקנו מאז שחרורו של מערכת ההפעלה החדשה. הסיכון שהם הנשקף למשתמשים נאמדו להיות נמוך עד בינוני. כל הסיכונים הללו התגלו על ידי MWR, חברה לייעוץ ביטחוני.

פגיעות חיבור ADB

זוהי פגיעות ברמה נמוכה, מה שאומר שזה מאוד לא סביר שמשתמש הושפע זה. פיקוח אבטחה זה יכול להיות מנוצל רק אם באגים USB מופעלים במכשיר, וזה לא המקרה עבור רוב המשתמשים.

של Android Debug Bridge (ADB), שורת פקודה שיכולה לסייע למשתמשים בעת איתור באגים או פיתוח, משתמשים מעניקה גישה אל הנתונים במכשיר, כמו גם גישה לפונקציונליות. זה מאוד לא סביר כי משתמשים ממוצעים יהיו ניפוי USB מופעל. אבל אם זה היה המקרה, אז תוקפים יוכל להתקין ולהסיר יישומים כלשהם בהתקן, לגשת קליפת פריבילגיה גבוהה, לעקוף את מסך הנעילה, ולגנוב נתונים והגדרות מהמכשיר.

התקנת תעודות TLS

שני מחדלים האחרים נחשבים כאיום ברמה בינוני עבור משתמשים. שניהם צריכים לעשות עם ההתקנה של תעודות TLS, אשר יכול לקרות מבלי שהמשתמשים יצטרכו לעשות כלום עם התהליך. כאשר אישור TLS מותקן, למרות זאת, הודעה תתבקש. זהו סימן ברור כי המכשיר נפרץ. אם אתה מקבל הודעה כרעם ביום בהיר אומר "תעודת מותקן", אז אתה צריך לפעול בבת אחת להיפטר אישור. קיימת אפשרות כי יש כבר כמה אפליקציות זדוניות על המכשיר, אז אתה צריך לבדוק את זה, גם כן, ולהסיר אותו אם הוא קיים.

מה הופך פגיעויות אלה חמורים יותר הוא העובדה כי הם פותחים את ההזדמנות עבור אדם-in-the-middle. משמעות הדבר היא כי האקרים יכולים ליירט מוצפן כי שאתה מעביר בעת אינטראקציה עם היישומים שלך.

יש דרך שדרכו זו ניתן להימנע - תעודת מצמיד. זהו מנגנון אימות כי יש נתוני אימות תעודת ארוזות בתוך האפליקציה. ואם כל מידע מהשרת איכשהו אינו תואם, אז החיבור בוטל. למרות זאת, אם התנועה המוצפנת אינה משתמשת תעודת תולים, אז זה יכול להיות חטף באמצעות התקפת אדם באמצע.

העדכון

הדרך היחידה לתקן את הבעיות האלו היא להתקין את התיקון החדש. אנו ממליצים לעשות זאת בהקדם האפשרי אם אתה רוצה את הבעיות תיפתרנה.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.