Pesquisadores de segurança da Bluebox Labs descobriram uma falha de projeto no Android que poderia permitir um malware assumir o controle de qualquer dispositivo facilmente.A falha foi nomeado “Fake ID” pela empresa  de segurança Bluebox Labs, que descobriu a falha. No entanto, o Google diz que já emitiu um patch para proteger os usuários do Android de ataques que exploram a falha.Milhões de dispositivos ainda podem estar em risco, mesmo com atualização de segurança, como os próprios números do Google mostram 82,1% dos usuários do android estão executando uma versão mais antiga do sistema operacional, expostas ao risco.

Em um post no blog Bluebox publicado hoje, a empresa explicou que o problema reside na forma como a segurança é verificada, com cada aplicativo recebe a sua própria assinatura criptográfica e determinar quem pode atualizá-lo, e o seus privilégios em um dispositivo.O problema é que o Android não realiza verificações de segurança suficiente e o sistema não sabe se o certificado foi emitido corretamente ou se foi forjado.Há “certificados pai” e “certificados criança”, que são verificados um contra o outro no momento da instalação para garantir que eles se combinem e que o aplicativo é de confiança. O pai, geralmente proferida pelo criador do software original, prova efetivamente a criança é digna de ser confiável, como parte do que é conhecido como a “cadeia de certificados”.Isso deve funcionar como um mecanismo de segurança decente, mas Bluebox Labs afirma que todo o sistema de assinatura é falho, pelo fato do Android não efetuar os controlos adequados sobre a cadeia de certificados.Assim, um invasor pode criar um novo certificado falso simulando um certificado emitido pela Adobe e mesclá-lo com o certificado criança em um aplicativo malicioso. Então esse aplicativo, obtêm todas as permissões de um aplicativo Adobe sem que o usuário seja alertado.Isso permite a um hacker criar um único aplicativo malicioso que carrega múltiplas identidades falsas de uma vez, aproveitando várias oportunidades de privilégio de verificação de assinaturas, acrescentou Bluebox.Um porta-voz do Google disse que após a divulgação da Bluebox, rapidamente lançou um patch que foi distribuído aos parceiros do Android e para o Projeto Android Open Source. E que os usuários estão seguros pois o Google Play Store realiza teste de seguranças nos aplicativos. Mas cuidado e só instalem Apps de qualidade e conhecidos.

Fonte:
teciber.com

About Author

Criador do Site Verdade Mundial, fotógrafo por amor e profissão. Um inquieto da sociedade! Acredito que podemos mudar o pensamento das massas com a informação. Temos as ferramentas e a vontade de ver um Mundo melhor e livre. Estamos nessa luta há dez anos e em frente!