O business case para uma solução multi-inquilino, baseado em nuvem Recovery-as-a-Service
Android 4.4 contém uma correção para outra - embora variante mais fraca - do chamado bug MasterKey que surgiu pela primeira vez em julho .
A vulnerabilidade balançou primeiro mundo a segurança quando Mobile Security startup Bluebox Segurança alertou sobre uma classe de falha que potencialmente afetados 99 por cento dos dispositivos Android. O problema girava em torno de como Android lidou com a verificação da integridade de apps.
Deficiências de segurança fez com que pessoas mal-intencionadas poderiam alterar alguns dos conteúdos empacotados em um aplicativo sem alterar sua assinatura criptográfica. Apps para Android vem como. APKs (Android Pacotes), que são efetivamente apenas arquivos ZIP. Bluebox descobriu que era possível para embalar um arquivo de instalação com os arquivos cujo nome é o mesmo que aqueles que já estão no arquivo. Estes arquivos renomeados poderia facilmente conter código malicioso. Ele descobriu o furo de segurança em fevereiro e notificou a Google, mas uma correção não chegou até julho .
A questão surgiu porque o Android verificou o hash criptográfico da primeira versão de qualquer arquivo repetido em um arquivo APK, mas o instalador extrai e aplica-se a última versão, que pode ser qualquer coisa e não seria verificado desde que tinha o mesmo nome do arquivo como um componente anteriormente (legítimo).
Um bug semelhante, descoberto por pesquisadores chineses Android, também foi fixado em julho. Foi baseado em Java, mas tinha as mesmas conseqüências práticas - meliantes poderiam fazer upload de arquivos APK Trojan-laden em mercados on-line que carregavam a mesma assinatura digital como o aplicativo legítimo.. Ambas as duas questões anteriores foram resolvidas com Android 4.3 Jelly Bean, que foi lançado em julho.
Investigação do Android código fonte 4.4 lançado recentemente por Jay Freeman, um desenvolvedor de segurança móvel mais conhecido por seu trabalho no iOS e Cydia *, revelou que ele contém um patch para uma terceira falha nos mesmos moldes. A terceira falha é menos fácil de explorar do que as duas variantes anteriores, mas ainda é potencialmente problemática. Ela surge porque é possível manipular comprimento campo o nome do arquivo de metadados de um arquivo ZIP.
"O cabeçalho comprimento nome local é deliberadamente tão grande que ele aponta passado, tanto o nome e os dados do arquivo original", explica o veterano antivírus especialista Paul Ducklin no blog de segurança Sophos nua . "Isto representa um arquivo para o verificador, e um arquivo diferente para o carregador do sistema operacional."
Mantenedores Android têm anulado o último bug alterando o código de validação baseada em Java "para que ele segue um caminho semelhante com os dados para que a usada pelo gestor", segundo Ducklin, que descreve isso como uma solução eficaz (se não holística) .
Freeman publicou uma análise detalhada da falha, juntamente com o código de prova de conceito, aqui . A terceira falha foi encontrada em torno do mesmo tempo que os outros, mas apenas corrigiu este mês.
Todos os três falhas decorrem as características do formato de arquivo Zip, projetado em uma época anterior da computação, que contou com redundância nome do arquivo, no caso de arquivos teve que ser dividido em vários disquetes. Estas e outras características antiquadas são hard-wired para o formato Zip, entregando as questões de segurança para pacotes do Android construída sobre os alicerces do formato, como resultado.
Fontes confirmaram que todos os três bugs foram corrigidos no Android 4.4 e que os parceiros de hardware do Google OEM foram notificados. Ele ainda pode levar algum tempo para o lançamento da atualização pelos fabricantes de dispositivos, se o progresso através do eco-sistema Android de atualizações anteriores é qualquer guia.
El Reg foi capaz de confirmar através romeno software empresa de segurança Bitdefender que a mais recente vulnerabilidade MasterKey foi corrigido.
Bogdan Botezatu, analista sênior e-ameaça a Bitdefender, disse: "O código cometido no repositório GIT ligado mudou no 4.4 RC1 iteração e o vetor de ataque descrito no artigo tem - ao nosso conhecimento - foram mitigados.
"Nós também tentamos reproduzir o exploit descrito no builds AOSP compilado que começaram a aparecer desde sexta-feira, sem sucesso. No entanto, estamos olhando para o aparelho para ver se cenários especiais poderiam permitir façanhas semelhantes", acrescentou.
Do BitDefender Botezatu descobertos dois aplicativos de jogos benignos caracterizam a vulnerabilidade MasterKey original na loja oficial do Google Play duas semanas depois que o problema surgiu pela primeira vez para a sua garantia de que não há problemas mais escondidos em Android no mesmo sentido, pelo menos por enquanto, é bem-vinda.
Bootnote
* Cydia é uma aplicação que permite busca fanbois e instalar pacotes de software em dispositivos com jailbreak iOS da Apple.
via Alimentar (Feed)
Nenhum comentário:
Postar um comentário