Amazon probeert security bugs geheim te houden.
Kwetsbaarheden niet een ernstig gevaar
Versie 4.6.1 voor Fire OS werd uitgebracht in mei. Dit OS wordt gebruikt op de Fire Phone. Sinds de release Amazon rustig is op het informeren over eventuele fouten in verband met de Android-gebaseerd besturingssysteem. Het bedrijf, waarvan de belangrijkste focus was, natuurlijk, de nieuwe functies, alsmede de verbeterde functionaliteit. Deze, echter, betekent niet dat de ontwikkelaars niet bezig zijn geweest op zoek naar en oplossen van bugs in het systeem. Ten minste drie beveiligingslekken zijn opgelost sinds de release van het nieuwe OS. Het risico dat ze poseerde voor gebruikers werd geschat lage tot gemiddelde te zijn. Al deze risico's werden ontdekt door MWR, een security adviesbureau.
ADB Verbinding Beveiligingslek
Dit is een lage kwetsbaarheid niveau, wat betekent dat het zeer onwaarschijnlijk is dat de gebruikers zijn getroffen door deze. Deze beveiliging toezicht kan alleen worden misbruikt als USB-foutopsporing is ingeschakeld op uw apparaat, wat niet het geval is voor de meeste gebruikers.
Android Debug Bridge (ADB), een command line die gebruikers kunnen helpen bij het debuggen of het ontwikkelen van, subsidies gebruikers toegang tot gegevens op het apparaat, evenals toegang tot de functies. Het is zeer onwaarschijnlijk dat de gemiddelde gebruiker USB-foutopsporing ingeschakeld zal hebben. Maar als dat het geval was, dan aanvallers in staat zou zijn om alle toepassingen op het apparaat te installeren en te verwijderen zijn, toegang krijgen tot een hoge privilege shell, omzeilen de lock-scherm, en stelen gegevens en instellingen van het apparaat.
Installatie van TLS certificaten
De andere twee vergissingen worden beschouwd als een medium dreigingsniveau voor gebruikers. Beiden hebben te maken met de installatie van de TLS-certificaten, wat kan gebeuren zonder dat de gebruiker iets hoeft te doen met het proces. Wanneer een TLS-certificaat is geïnstalleerd, echter, een bericht wordt gevraagd. Dit is een duidelijk teken dat het apparaat wordt omzeild. Als u een melding uit de lucht te zeggen krijgen “Certificaat is geïnstalleerd”, dan moet je actie in een keer te nemen en zich te ontdoen van dit certificaat. Er is een mogelijkheid dat er al een aantal kwaadaardige app op uw apparaat, dus je moet om te controleren op dat, ook, en verwijderen indien aanwezig.
Wat maakt deze kwetsbaarheden ernstiger is het feit dat ze het openstellen van de mogelijkheid voor man-in-the-middle-aanvallen. Dit betekent dat hackers niet kunnen onderscheppen gecodeerd dat u overdragen bij de interactie met uw toepassingen.
Er is een weg waarlangs dit kan worden vermeden - certificaat pinning. Dit is een validatie mechanisme dat de validatie certificaat gegevens gebundeld in de app. En als alle informatie van de server een of andere manier niet correleert, wordt de verbinding afgebroken. Echter, als de versleutelde verkeer geen certificaat geen gebruik maakt van pinning, dan kan worden gegrepen door man-in-the-middle-aanval.
De update
De enige manier om deze problemen op te lossen is om de nieuwe patch te installeren. We raden u aan om dit te doen zo snel mogelijk als u wilt dat de problemen die moeten worden opgelost.