Biztonsági rés tátong az Androidon
Egy olyan androidos sebezhetőségre derült fény, amely ártalmas kódok futtatását teheti lehetővé a támadók számára.Jeff Forristal, a Bluebox Security műszaki igazgatója számolt be arról a biztonsági résről, amely az Androidra épülő okostelefonok és táblagépek esetében jelent kockázatot. A hiba az operációs rendszer tanúsítványkezelésében található, egészen pontosan a tanúsítványláncok ellenőrzési mechanizmusában. Ennek kihasználásával a csalók, vírusterjesztők könnyebben tudják életre kelteni a nemkívánatos szerzeményeiket a mobilokon, miközben nincs szükségük különösebb felhasználói közreműködésre. A kockázatokat fokozza, hogy az Android tartalmaz néhány "beégetett" tanúsítványt is, amelyeket szintén felhasználhatnak a vírusírók a céljaik elérése érdekében. Ilyen tanúsítványok tartoznak többek között az Adobe alkalmazásaihoz és a Motorola által 2011-ben felvásárolt 3LM cég mobil eszközmenedzsment megoldásaihoz is.
Forristal szerint a biztonsági rés - a jelenlegi ismeretek szerint - az Android 4.4 előtti kiadásait sújtja, amelyek még a korábbi verziójú WebView komponenssel váltak elérhetővé. Azóta a WebView-nak már megjelent egy olyan változata, amely nem teszi lehetővé a plugin alapú kódinjektálást. Ennek ellenére a probléma súlyos, hiszen a legfrissebb statisztikák szerint a forgalomban lévő andriodos készülékek 88 százaléka még a 4.4 előtti kiadásokra épül.
"Nagyon-nagyon könnyű kihasználniuk a kártékony programoknak ezt a módszert. Csendben, észrevétlenül, a felhasználó tudta nélkül végezhetik a dolgukat. Az ilyen ártalmas alkalmazásoknak nincs szükségük külön engedélyekre sem, mindössze megfelelő WebView kódokat kell tudniuk letölteni" - nyilatkozta Forristal, aki a támadási módszer részleteit a Black Hat konferencián akarja majd nyilvánosságra hozni.
A Google elismerte a hiba létezését, és már elkészítette a megfelelő frissítéseket. Ezeket kiküldte az androidos partnerei számára, de azt nem lehet tudni, hogy a biztonsági javítások az egyes készülékekig mikor érnek el. A Google azt is jelezte, hogy a Play esetében extra védelmi ellenőrzéseket vezetett be, hogy ki tudja szűrni az újonnan felfedezett sebezhetőséggel visszaélő alkalmazásokat, de eddig ilyen programra nem akadt.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
-
A PuTTY-hoz egy biztonsági frissítés vált elérhetővé.
-
A XenServer és a Citrix Hypervisor is biztonsági frissítéseket kapott.
-
A GitLab újabb biztonsági javításokat adott ki.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.