Amazon cerca di mantenere bug di sicurezza segreto.
Le vulnerabilità Non un grave pericolo
Versione 4.6.1 per Fire OS è stato rilasciato questo mese di maggio. Questo sistema operativo è utilizzato sul fuoco Phone. Dal suo lancio Amazon è stata tranquilla, concernente l'informazione su eventuali bug relativi al sistema operativo basato su Android. obiettivo principale della società è stata, ovviamente, le nuove funzionalità, così come la sua funzionalità migliorate. Questo, tuttavia, non significa che i suoi sviluppatori non sono stati impegnati alla ricerca di correggere i bug e sul sistema. Almeno tre le debolezze di sicurezza sono stati corretti dal rilascio del nuovo sistema operativo. Il rischio hanno posato per gli utenti sono stati stimati essere da basso a medio. Tutti questi rischi sono stati scoperti della MWR, una società di consulenza di sicurezza.
Vulnerabilità connessione ADB
Si tratta di una vulnerabilità di basso livello, il che significa che è altamente improbabile che gli utenti sono stati colpiti da essa. Questa svista sicurezza può essere sfruttata solo se il debug USB è attivata sul tuo dispositivo, che non è il caso per la maggior parte degli utenti.
Android Debug Bridge (ADB), una riga di comando che può aiutare gli utenti durante il debug o in via di sviluppo, concede agli utenti l'accesso ai dati sul dispositivo, così come l'accesso alle funzionalità. E 'molto improbabile che gli utenti medi avranno il debug USB acceso. Ma se così fosse, quindi gli aggressori sarebbero in grado di installare e disinstallare le applicazioni sul dispositivo, accedere ad una shell alto privilegio, bypassare la schermata di blocco, e rubare dati e le impostazioni del dispositivo.
Installazione di certificati TLS
Gli altri due sviste sono considerati come una minaccia per gli utenti di livello medio. Entrambi hanno a che fare con l'installazione di certificati TLS, che può avvenire senza che gli utenti hanno a che fare nulla con il processo. Quando viene installato un certificato TLS, tuttavia, una notifica verrà richiesto. Questo è un segno evidente che il dispositivo sia compromessa. Se si ottiene una notifica di punto in bianco che dice “certificato installato”, allora si dovrebbe agire in una sola volta e di sbarazzarsi di tale certificato. C'è una possibilità che già esiste qualche app dannoso sul dispositivo, quindi bisogna controllare che, anche, e rimuoverlo se è presente.
Ciò che rende queste vulnerabilità più grave è il fatto che essi aprono la possibilità di attacchi di tipo man-in-the-middle. Ciò significa che gli hacker possono intercettare crittografato che che si trasferiscono quando interagisce con le applicazioni.
C'è un modo attraverso il quale questo può essere evitato - certificato di pinning. Si tratta di un meccanismo di convalida che ha i dati di convalida del certificato in bundle in app. E se tutte le informazioni dal server in qualche modo non si correla, allora la connessione viene interrotta. Tuttavia, se il traffico crittografato non usa certificato pinning, allora può essere strappato via man-in-the-middle.
L'aggiornamento
L'unico modo per risolvere questi problemi è quello di installare la nuova patch. Si consiglia di farlo il più presto possibile se si desidera che le questioni da risolvere.