Una nueva vulnerabilidad en Android facilita la instalación de malwaremsc hotline sat Thursday, July 31, 2014 Un fallo de diseño de Android podría permitir la instalación de cualquier aplicación sin necesidad de que el usuario de permisos especiales durante su instalación. El problema, descubierto por la firma BlueBox Security, recibe el nombre de "Fake ID" debido a que permite al malware pasar credenciales falsas a Android, que falla al verificar cadenas de certificados de claves públicas de la firma criptográfica de la aplicación. En su lugar, Android otorga a la aplicación maliciosa todos los permisos de acceso de cualquier aplicación legítima. Las aplicaciones Android deben estar firmadas para poder ser instaladas en el sistema, pero el certificado digital empleado para firmar no necesita estar emitido por una autoridad certificadora. Según la propia documentación de Android "es perfectamente admisible, y típico, que las aplicaciones Android usen certificados autofirmados". Sin embargo, Android incluye incrustados en su código los certificados de diversos desarrolladores, para que las aplicaciones de estos desarrolladores tengan accesos y permisos especiales dentro del sistema operativo. Uno de estos certificados pertenece a Adobe, y permite a las aplicaciones firmadas o los certificados emitidos por ella inyectar código en otras aplicaciones Android. Este comportamiento puede deberse a que de esta forma se puede permitir a otras aplicaciones hacer uso del plug-in de Flash Player. Ver mas informacion al repsecto en Fuente : http://unaaldia.hispasec.com/2014/07/una-nueva-vulnerabilidad-en-android.html saludos ms, 31-7-2014 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |