• Android: Bypass em Assinatura de Código

    Os aplicativos Android implementam uma assinatura que é projetada para assegurar a integridade do pacote APK. Durante a instalação, o sistema operacional irá usar a assinatura para validar o conteúdo da embalagem, e um alerta será emitido se algum tipo de manipulação for detectada. Em virtude desse fato, a empresa norte-americana Bluebox, fundada em meados de 2012, afirma ter descoberto um bug nesta abordagem que permite que um código arbitrário possa ser injetado em arquivos APK, sem invalidar a assinatura.


    A empresa planeja lançar mais detalhes do bug 8219321, que foi relatado ao Google em fevereiro de 2013. O lançamento desse detalhes ocorrerá durante a conferência de segurança Black Hat, no dia 1º de agosto de 2013. A empresa postou um tweet misterioso em março dizendo que iria dar mais informações sobre a referida falham em um prazo de 90 dias.

    O bug, aparentemente, existe desde o Android 1.6 (Donut), que foi lançado há cerca de quatro anos. A correção é de apenas duas linhas. De acordo com o CIO brasileiro que falou com Jeff Forristal, CTO da Bluebox, a Samsung, até agora, foi a única empresa a disponibilizar uma atualização para fechar a falha em seu Galaxy S4. Além disso, o Google planeja corrigir a versão do Android Nexus em um futuro próximo, diz o CTO Bluebox. As aplicações disponíveis no Android Play Store do Google não são afetadas pela falha de segurança.



    Saiba Mais:

    [1] Signing Your Applications http://developer.android.com/tools/p...p-signing.html

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L