Amazon forsøger at holde sikkerhedsfejl hemmelighed.
Sårbarheder Ikke en Svær Fare
Version 4.6.1 til Fire OS blev udgivet i maj. Dette OS er brugt på Fire Phone. Siden dens udgivelse Amazon har været stille på at informere om eventuelle fejl i forbindelse med Android-baseret operativsystem. Virksomhedens primære fokus var, selvfølgelig, de nye funktioner, samt dens forbedret funktionalitet. Dette, dog, betyder ikke, at dens udviklere ikke har haft travlt med at lede efter og rette fejl på systemet. Mindst tre sikkerhedsmæssige svagheder er blevet rettet siden udgivelsen af det nye styresystem. Den risiko, de poserede for Brugerne blev anslået til at være lav til middel. Alle disse risici blev opdaget af MWR, en sikkerhed konsulentvirksomhed.
ADB Connection Sårbarhed
Dette er et lavt niveau sårbarhed, hvilket betyder, at det er højst usandsynligt, at brugerne er blevet påvirket af det. Denne sikkerhed tilsyn kan kun udnyttes, hvis USB-fejlretning er aktiveret på din enhed, hvilket ikke er tilfældet for de fleste brugere.
Android Debug Bridge (ADB), en kommandolinje, der kan hjælpe brugerne, når debugging eller udvikle, Tilskud brugere adgang til data på enheden, samt adgang til funktionalitet. Det er meget usandsynligt, at de gennemsnitlige brugere vil have USB debugging aktiveret. Men hvis det var tilfældet, derefter angribere ville være i stand til at installere og afinstallere alle programmer på enheden, adgang til en høj privilegium shell, omgå låseskærmen, og stjæle data og indstillinger fra enheden.
Montering af TLS-certifikater
De to andre forglemmelser anses som et medium niveau trussel for brugerne. Begge af dem har at gøre med installationen af TLS certifikater, hvilket kan ske uden at brugerne skulle gøre noget med processen. Når en TLS certifikat er installeret, dog, en meddelelse vil blive bedt. Dette er et tydeligt tegn på, at enheden er blevet kompromitteret. Hvis du får en meddelelse ud af det blå siger ”Certificate Installed”, så skal du tage handling på en gang og slippe af med dette certifikat. Der er en mulighed for, at der allerede er nogle ondsindet app på din enhed, så du er nødt til at tjekke for at, samt, og fjern den, hvis det er til stede.
Hvad gør disse sårbarheder mere alvorlig, er det faktum, at de åbner op for muligheden for mennesket-i-the-middle-angreb. Det betyder, at hackere kan opfange krypteret, at du overfører, når interagere med dine applikationer.
Der er en måde, hvorigennem dette kan undgås - certifikat pinning. Dette er en validering mekanisme, der har certifikat valideringsdata bundtet i app. Og hvis nogle af oplysningerne fra serveren eller anden måde ikke korrelerer, er forbindelsen afbrydes. Dog, hvis den krypterede trafik ikke bruger certifikat pinning, så det kan snuppet via man-in-the-middle-angreb.
Update
Den eneste måde at løse disse problemer er at installere den nye patch. Vi anbefaler at gøre dette så hurtigt som muligt, hvis du vil have de problemer, der skal løses.