Amazon tenta manter bugs de segurança segredo.
Vulnerabilidades não um perigo grave
Versão 4.6.1 para Fire OS foi lançado em maio deste ano. Este sistema operacional é usado no telefone fogo. Desde o seu lançamento Amazon tem sido tranquila, informando sobre todos os erros relacionados com o sistema operacional baseado em Android. O foco principal da empresa foi, claro, os novos recursos, bem como a sua funcionalidade melhorada. Este, contudo, não significa que seus desenvolvedores não ter sido ocupado procurando e corrigindo bugs no sistema. Pelo menos três falhas de segurança foram corrigidos desde o lançamento do novo sistema operacional. O risco que posou para usuários foram estimados em baixa a média. Todos esses riscos foram descobertos por MWR, uma empresa de consultoria de segurança.
Vulnerabilidade Connection ADB
Esta é uma vulnerabilidade de baixo nível, o que significa que é altamente improvável que os usuários foram afetados por ela. Esta supervisão de segurança só pode ser explorada se a depuração USB está ativado no seu dispositivo, o que não é o caso para a maioria dos usuários.
Android Debug Bridge (ADB), uma linha de comando que pode ajudar os usuários quando a depuração ou em desenvolvimento, concede aos usuários acesso a dados no dispositivo, bem como o acesso à funcionalidade. É muito improvável que os usuários médios terão depuração USB ligado. Mas se fosse esse o caso, em seguida, os atacantes seria capaz de instalar e desinstalar quaisquer aplicativos no dispositivo, acessar um shell de alto privilégio, ignorar a tela de bloqueio, e roubar dados e configurações do dispositivo.
Instalação de Certificados TLS
Os outros dois descuidos são considerados como uma ameaça nível médio para os usuários. Ambos têm a ver com a instalação de certificados TLS, o que pode acontecer sem que os usuários ter que fazer qualquer coisa com o processo. Quando um certificado TLS está instalado, contudo, uma notificação será solicitado. Este é um sinal evidente de que o dispositivo tenha sido comprometida. Se você receber uma notificação fora do azul dizendo “Certificado instalado”, então você deve agir de uma vez e se livrar desse certificado. Há uma possibilidade que já existe algum aplicativo malicioso no seu dispositivo, então você tem que verificar se há que, também, e removê-lo, se ele estiver presente.
O que torna essas vulnerabilidades mais grave é o fato de que eles abrem a oportunidade para ataques man-in-the-middle. Isto significa que os hackers podem interceptar criptografado que que você transferir ao interagir com suas aplicações.
Há um caminho através do qual isto pode ser evitado - certificado de pinagem. Este é um mecanismo de validação que tem os dados de validação do certificado empacotado no aplicativo. E se alguma informação a partir do servidor de alguma forma não se correlaciona, em seguida, a ligação é interrompida. Contudo, se o tráfego criptografado não usa certificado fixando, então ele pode ser arrancado via man-in-the-middle ataque.
A atualização
A única maneira de corrigir esses problemas é instalar o novo patch. Recomendamos fazer isso o mais rápido possível se você quiser as questões a serem resolvidas.