terça-feira, 29 de julho de 2014

Vulnerabilidade no Android pode afetar até 82% dos usuários

http://img.ibxk.com.br//2014/07/29/29120417819204.jpg?w=1120&h=480&mode=crop
Um grupo de pesquisadores do Bluebox Labs descobriu uma vulnerabilidade bem grave no sistema operacional Android. Trata-se de uma falha que está sendo chamada de Fake ID e que permite que usuários mal intencionados se aproveitem de um bug no sistema de assinaturas criptográficas de aplicativos, conseguindo assim burlar certificados dentro dos aparelhos. E o pior: segundo os pesquisadores, isso pode afetar até 82,1% dos consumidores de Android.
Isso acontece porque essa é a quantidade de pessoas que utiliza o sistema operacional entre as versões 2.2 e 4.4 — as que podem ser afetadas pela vulnerabilidade. Mas como exatamente isso pode nos afetar? O Fake ID permite que certificados falsos possam ser identificados como verdadeiros pelos verificadores internos, graças ao número limitado de checagens que são feitas pelo Android. Ou seja: é como se um adolescente tentasse entrar na balada com a identidade de outra pessoa e o segurança não olhasse direito para o documento.
Nas demonstrações da falha, o Bluebox Labs utilizou certificados da Adobe para validar aplicativos maliciosos — não criados pela mesma empresa, é claro — em verificadores originais do sistema operacional. Isso se mostrou ainda mais grave quando os pesquisadores mostraram que é capaz até mesmo de abusar dos verificadores de certificados NFC para ter acesso indiscriminado ao Google Wallet — o que pode resultar em perdas financeiras.
Segundo o The Guardian, a Google já lançou atualizações de correção para as empresas parceiras do Android e do Android Open Source Project, mas ainda não é possível dizer quantos consumidores foram beneficiados por ela até o momento. Em suma, é importante saber que a vulnerabilidade ainda está ativa e que ela pode afetar usuários do Android 2.2 ao 4.4.
FONTE

Nenhum comentário: