• Magnitude do Bug "Master Key" do Android

    A falha Android, cuja existência foi revelada na semana passada pela Bluebox Security, é exatamente tão nefasta o quanto foi constatado pelos especialistas. Blowing hash e funções de assinatura para que o código subjacente possa ser alterado sem o hash, seguido de outras mudanças, pode ser classificado como um cenário terrivelmente cruel. Este é o código equivalente à representação de "uma pessoa com uma máscara tão bem elaborada", que nem mesmo a pessoa real em si, pode saber a diferença entre o que é falso e o que é verdadeiro, disse Peter Biddle através de uma explicação em um post de blog.


    O valor inteiro de um trust chain's é que você está limitando a área de superfície da vulnerabilidade para o code-signing, e também para o hash em si. Este bug simplesmente destrói o chain. Nesse caso, o melhor a fazer seria tratar a situação como contraditória e mover todas as operações críticas para fora do dispositivo e para um lugar no qual você sabe que pode confiar. Na sequência desses fatos, o Google tem, aparentemente, tornado impossível submeter aplicações ao Google Play, aplicações essas que foram modificadas justamente para explorar essa falha.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=15192

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L