Amazon försöker hålla säkerhets buggar hemligt.
Sårbarheter Inte Svår Fara
Version 4.6.1 för Fire OS släpptes i maj. Detta OS används på elden Phone. Sedan dess release Amazon har varit tyst på att informera om eventuella fel i samband med Android-baserade operativsystem. Företagets huvudfokus var, självklart, de nya funktionerna, såväl som dess förbättrad funktionalitet. Detta, dock, betyder inte att dess utvecklare inte har varit upptagen letar efter och rätta fel på systemet. Minst tre svagheter i säkerheten har rättats sedan lanseringen av det nya operativsystemet. Risken att de poserade för användarna uppskattades vara låg till medelhög. Samtliga dessa risker upptäcktes av MWR, ett säkerhetskonsultföretaget.
ADB Connection Vulnerability
Detta är en låg nivå sårbarhet, vilket innebär att det är högst osannolikt att användarna har påverkats av den. Den här säkerhetstillsyn kan endast utnyttjas om USB-felsökning är aktiverat på enheten, vilket inte är fallet för de flesta användare.
Android Debug Bridge (ADB), en kommandorad som kan hjälpa användare när felsökning eller utveckla, beviljades bidrag användarna tillgång till data på enheten, samt tillgång till funktionalitet. Det är mycket osannolikt att genomsnittsanvändare kommer att ha USB debugging påslagen. Men om så vore fallet, då angripare skulle kunna installera och avinstallera alla program på enheten, tillgång till en hög privilegium skal, kringgå låsskärmen, och stjäla data och inställningar från enheten.
Installation av TLS-certifikat
De andra två förbiseenden bedöms som ett medium hotnivån för användarna. Båda har att göra med installationen av TLS certifikat, vilket kan ske utan att användarna behöver göra något med processen. När en TLS-certifikat har installerats, dock, en anmälan kommer att uppmanas. Detta är ett tydligt tecken på att enheten har äventyrats. Om du får ett meddelande ur det blå säger ”Certificate Installed”, så ska du agera på en gång och bli av med detta intyg. Det finns en möjlighet att det redan finns en viss skadlig app på din enhet, så du måste kontrollera om det, också, och ta bort den om den är närvarande.
Vad som gör dessa sårbarheter allvarligare är det faktum att de öppnar upp möjligheten för man-in-the-middle-attacker. Detta innebär att hackare kan fånga krypterade att det du överför när de interagerar med dina program.
Det finns ett sätt genom vilket detta kan undvikas - certifikat fastlåsning. Detta är en validering mekanism som har valideringscertifikat uppgifter pakete i appen. Och om någon information från servern på något sätt inte korrelerar, då anslutningen avbryts. dock, Om den krypterade trafiken inte använder certifikat sätter, då kan ryckas via man-in-the-middle attack.
Uppdateringen
Det enda sättet att åtgärda dessa problem är att installera den nya patchen. Vi rekommenderar att göra detta så snart som möjligt om du vill att frågor som måste lösas.