Isolamento pode ser burlado, segundo a Bluebox Security.
Brecha existe desde a versão 2.1 do sistema e ainda não foi corrigida.
Pesquisadores da empresa de segurança Bluebox Security revelaram que o sistema Android, do Google, tem uma falha na verificação da identidade dos aplicativos. O erro permite que um aplicativo qualquer se identifique como um app privilegiado, burlando restrições do sistema que, normalmente, impediriam um app de ter acesso a dados de outros softwares do aparelho.
A vulnerabilidade está presente no Android desde a versão 2.1, lançada no início de 2010, e ainda não foi corrigida nas versões mais recentes do sistema. Para explorar a falha, um aplicativo malicioso precisa ser primeiro instalado pelo utilizador.
Segundo um comunicado do Google enviado ao site "Ars Technica", a empresa fez uma varredura nos aplicativos do Google Play e não detectou nenhuma tentativa de exploração da falha. A companhia disse ainda que distribuiu uma correção para o Android e criou mecanismos para detectar aplicativos mal intencionados.
Todos os aplicativos comuns instalados no sistema Android estão submetidos a um sistema de isolamento, ou "sandbox", que impede os aplicativos de interferirem no funcionamento ou nos dados uns dos outros. Alguns aplicativos, no entanto, são privilegiados pelo sistema e não possuem essas restrições. Para isso, o aplicativo precisa apresentar um certificado digital, cuja autenticidade deve ser verificada por uma "autoridade certificadora" confiada pelo Android.
O problema, segundo a Bluebox Security, é que um certificado pode ser usado de tal maneira que o Android não verifica a autenticidade do mesmo junto aos certificados que ele confia, permitindo que qualquer aplicativo se identifique como um dos "privilegiados", burlando assim a proteção.
Mais detalhes da vulnerabilidade serão apresentados na semana que vem, na conferência de segurança "Black Hat USA 2014", que ocorre em Las Vegas, nos Estados Unidos. Jeff Forristal, diretor de tecnologia da Bluebox Security, será palestrante no evento. Na ocasião, a empresa também lançará uma ferramenta para que usuários possam analisar se os aplicativos instalados no celular fazem uso do truque para obter permissões de maneira indevida.
Brecha existe desde a versão 2.1 do sistema e ainda não foi corrigida.
Pesquisadores da empresa de segurança Bluebox Security revelaram que o sistema Android, do Google, tem uma falha na verificação da identidade dos aplicativos. O erro permite que um aplicativo qualquer se identifique como um app privilegiado, burlando restrições do sistema que, normalmente, impediriam um app de ter acesso a dados de outros softwares do aparelho.
A vulnerabilidade está presente no Android desde a versão 2.1, lançada no início de 2010, e ainda não foi corrigida nas versões mais recentes do sistema. Para explorar a falha, um aplicativo malicioso precisa ser primeiro instalado pelo utilizador.
Segundo um comunicado do Google enviado ao site "Ars Technica", a empresa fez uma varredura nos aplicativos do Google Play e não detectou nenhuma tentativa de exploração da falha. A companhia disse ainda que distribuiu uma correção para o Android e criou mecanismos para detectar aplicativos mal intencionados.
Todos os aplicativos comuns instalados no sistema Android estão submetidos a um sistema de isolamento, ou "sandbox", que impede os aplicativos de interferirem no funcionamento ou nos dados uns dos outros. Alguns aplicativos, no entanto, são privilegiados pelo sistema e não possuem essas restrições. Para isso, o aplicativo precisa apresentar um certificado digital, cuja autenticidade deve ser verificada por uma "autoridade certificadora" confiada pelo Android.
O problema, segundo a Bluebox Security, é que um certificado pode ser usado de tal maneira que o Android não verifica a autenticidade do mesmo junto aos certificados que ele confia, permitindo que qualquer aplicativo se identifique como um dos "privilegiados", burlando assim a proteção.
Mais detalhes da vulnerabilidade serão apresentados na semana que vem, na conferência de segurança "Black Hat USA 2014", que ocorre em Las Vegas, nos Estados Unidos. Jeff Forristal, diretor de tecnologia da Bluebox Security, será palestrante no evento. Na ocasião, a empresa também lançará uma ferramenta para que usuários possam analisar se os aplicativos instalados no celular fazem uso do truque para obter permissões de maneira indevida.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário