C'è una vulnerabilità terrificante su Android che potrebbe permettere agli hacker di impadronirsi completamente del telefono.
Ricercatori provenienti da BlueBox Labs hanno scoperto una vulnerabilità di Android terrificante che consente al malware di prendere possesso delle tue applicazioni, rubare i dati, ed essenzialmente prendere il pieno controllo del telefono, incluse le informazioni finanziarie che hai salvato nel tuo Google Wallet.
Ecco l'idea di base: Ogni app Android ha una sua identità unica, e questa particolare vulnerabilità consente di copiare tale identità, in modo che possa rappresentare le tue applicazioni senza che tu lo sappia.
I ricercatori BlueBox hanno soprannominato questa vulnerabilità "Fake ID."
Peggio ancora, colpisce quasi tutti i telefoni Android.
BlueBox dichiara che tale vulnerabilità risale al nuovo rilascio di Android 2.1 del gennaio 2010 e colpisce tutti i dispositivi che non sono "patchati" con "Google bug 13.678.484," che è stato comunicato a Google e rilasciato in Aprile.
La radice di questa vulnerabilità si trova in quella che viene chiamata una "catena di certificati", in cui i certificati crittografati che verificano l'identità delle applicazioni Android possono comunicare a vicenda per condividere dati. La vulnerabilità, tuttavia, non consente di verificare l'autenticità della catena del certificato.
BlueBox ha delineato alcune delle implicazioni di questo exploit:
Un utente malintenzionato può creare un nuovo certificato di identità digitale, creare una domanda che il certificato di identità è stato rilasciato ad esempio da Adobe Systems, e firmare un'applicazione con una catena di certificati che contengono un certificato di identità dannoso.
Al momento dell'installazione, il programma di installazione del pacchetto Android non verificherà la richiesta del certificato di identità dannoso e andrà a creare una firma pacchetto che contiene i due certificati.
Questo, a sua volta, inganna il codice certificato di controllo nel plugin manager WebView (che controlla in modo esplicito la catena del certificato Adobe) e consente all'applicazione di concedere plugin di privilegio ad Adobe Systems - portando ad una fuga e all' inserimento di codice dannoso, sotto forma di Plugin.
Il ricercatore BlueBOX Labs Jeff Forristal ha detto che offrirà i dettagli più tecnici dell'exploit, tra cui come è stato trovato, e come funziona, durante il suo discorso alla conferenza Black Hat USA a Las Vegas, che inizierà il 2 Agosto.
Se si utilizza Android 4.4 (conosciuto come KitKat) o avete ricevuto la patch di Google di Aprile prima che il telefono è stato attaccato, sei al sicuro.
BlueBox ha rilasciato un Security Scanner gratuito che ti consente di sapere se il telefono è stato colpito.
Ricercatori provenienti da BlueBox Labs hanno scoperto una vulnerabilità di Android terrificante che consente al malware di prendere possesso delle tue applicazioni, rubare i dati, ed essenzialmente prendere il pieno controllo del telefono, incluse le informazioni finanziarie che hai salvato nel tuo Google Wallet.
Ecco l'idea di base: Ogni app Android ha una sua identità unica, e questa particolare vulnerabilità consente di copiare tale identità, in modo che possa rappresentare le tue applicazioni senza che tu lo sappia.
I ricercatori BlueBox hanno soprannominato questa vulnerabilità "Fake ID."
Peggio ancora, colpisce quasi tutti i telefoni Android.
BlueBox dichiara che tale vulnerabilità risale al nuovo rilascio di Android 2.1 del gennaio 2010 e colpisce tutti i dispositivi che non sono "patchati" con "Google bug 13.678.484," che è stato comunicato a Google e rilasciato in Aprile.
La radice di questa vulnerabilità si trova in quella che viene chiamata una "catena di certificati", in cui i certificati crittografati che verificano l'identità delle applicazioni Android possono comunicare a vicenda per condividere dati. La vulnerabilità, tuttavia, non consente di verificare l'autenticità della catena del certificato.
BlueBox ha delineato alcune delle implicazioni di questo exploit:
Un utente malintenzionato può creare un nuovo certificato di identità digitale, creare una domanda che il certificato di identità è stato rilasciato ad esempio da Adobe Systems, e firmare un'applicazione con una catena di certificati che contengono un certificato di identità dannoso.
Al momento dell'installazione, il programma di installazione del pacchetto Android non verificherà la richiesta del certificato di identità dannoso e andrà a creare una firma pacchetto che contiene i due certificati.
Questo, a sua volta, inganna il codice certificato di controllo nel plugin manager WebView (che controlla in modo esplicito la catena del certificato Adobe) e consente all'applicazione di concedere plugin di privilegio ad Adobe Systems - portando ad una fuga e all' inserimento di codice dannoso, sotto forma di Plugin.
Il ricercatore BlueBOX Labs Jeff Forristal ha detto che offrirà i dettagli più tecnici dell'exploit, tra cui come è stato trovato, e come funziona, durante il suo discorso alla conferenza Black Hat USA a Las Vegas, che inizierà il 2 Agosto.
Se si utilizza Android 4.4 (conosciuto come KitKat) o avete ricevuto la patch di Google di Aprile prima che il telefono è stato attaccato, sei al sicuro.
BlueBox ha rilasciato un Security Scanner gratuito che ti consente di sapere se il telefono è stato colpito.