Vulnerabilidades no fogo OS 4.6.1 agora fixo

Vulnerabilidades no fogo OS 4.6.1 agora fixo

Amazon tenta manter bugs de segurança segredo.

Vulnerabilidades não um perigo grave

Versão 4.6.1 para Fire OS foi lançado em maio deste ano. Este sistema operacional é usado no telefone fogo. Desde o seu lançamento Amazon tem sido tranquila, informando sobre todos os erros relacionados com o sistema operacional baseado em Android. O foco principal da empresa foi, claro, os novos recursos, bem como a sua funcionalidade melhorada. Este, contudo, não significa que seus desenvolvedores não ter sido ocupado procurando e corrigindo bugs no sistema. Pelo menos três falhas de segurança foram corrigidos desde o lançamento do novo sistema operacional. O risco que posou para usuários foram estimados em baixa a média. Todos esses riscos foram descobertos por MWR, uma empresa de consultoria de segurança.

Vulnerabilidade Connection ADB

Esta é uma vulnerabilidade de baixo nível, o que significa que é altamente improvável que os usuários foram afetados por ela. Esta supervisão de segurança só pode ser explorada se a depuração USB está ativado no seu dispositivo, o que não é o caso para a maioria dos usuários.

Android Debug Bridge (ADB), uma linha de comando que pode ajudar os usuários quando a depuração ou em desenvolvimento, concede aos usuários acesso a dados no dispositivo, bem como o acesso à funcionalidade. É muito improvável que os usuários médios terão depuração USB ligado. Mas se fosse esse o caso, em seguida, os atacantes seria capaz de instalar e desinstalar quaisquer aplicativos no dispositivo, acessar um shell de alto privilégio, ignorar a tela de bloqueio, e roubar dados e configurações do dispositivo.

Instalação de Certificados TLS

Os outros dois descuidos são considerados como uma ameaça nível médio para os usuários. Ambos têm a ver com a instalação de certificados TLS, o que pode acontecer sem que os usuários ter que fazer qualquer coisa com o processo. Quando um certificado TLS está instalado, contudo, uma notificação será solicitado. Este é um sinal evidente de que o dispositivo tenha sido comprometida. Se você receber uma notificação fora do azul dizendo “Certificado instalado”, então você deve agir de uma vez e se livrar desse certificado. Há uma possibilidade que já existe algum aplicativo malicioso no seu dispositivo, então você tem que verificar se há que, também, e removê-lo, se ele estiver presente.

O que torna essas vulnerabilidades mais grave é o fato de que eles abrem a oportunidade para ataques man-in-the-middle. Isto significa que os hackers podem interceptar criptografado que que você transferir ao interagir com suas aplicações.

Há um caminho através do qual isto pode ser evitado - certificado de pinagem. Este é um mecanismo de validação que tem os dados de validação do certificado empacotado no aplicativo. E se alguma informação a partir do servidor de alguma forma não se correlaciona, em seguida, a ligação é interrompida. Contudo, se o tráfego criptografado não usa certificado fixando, então ele pode ser arrancado via man-in-the-middle ataque.

A atualização

A única maneira de corrigir esses problemas é instalar o novo patch. Recomendamos fazer isso o mais rápido possível se você quiser as questões a serem resolvidas.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios são marcados *

Time limit is exhausted. Please reload the CAPTCHA.