Kamis, 04 Juli 2013

kelemahan pada perusahaan android

Perusahaan keamanan mobile bluebox mengatakan hari ini bahwa baru-baru ini menemukan kerentanan di Android yang membuat perangkat Android dirilis dalam empat tahun terakhir rentan terhadap hacker yang bisa membaca data Anda, dapatkan password Anda, dan mengendalikan fungsi ponsel Anda, termasuk mengirim teks, membuat panggilan telepon, atau menyalakan kamera.
Itu hampir 900 juta perangkat Android secara global.

"Sebuah aplikasi Trojan ... memiliki kemampuan untuk membaca data aplikasi sewenang-wenang pada perangkat (email, pesan SMS, dokumen, dll), mengambil semua disimpan akun & password pelayanan," bluebox CTO Jeff Forristal diposting. "Hal ini pada dasarnya dapat mengambil alih fungsi normal dari telepon dan mengontrol fungsi apapun."

Kerentanan ini disebabkan "perbedaan" dalam bagaimana aplikasi Android disetujui dan diverifikasi, bluebox mengatakan, yang memungkinkan hacker untuk mengutak-atik kode aplikasi tanpa mengubah tanda tangan kriptografi app. Itu berarti bahwa sebuah aplikasi - aplikasi apapun - yang terlihat sangat aman dan sah untuk sebuah toko aplikasi, perangkat, seorang insinyur, atau seorang user benar-benar bisa memiliki kode berbahaya tertanam di dalamnya.
Forristal mengatakan bahwa rincian bug telah diungkapkan ke Google kembali pada bulan Februari, dan bahwa Google telah "diberitahu mitra perangkat mereka."
Masalahnya, bagaimanapun, adalah bahwa karena sifat terfragmentasi Android dan fakta bahwa produsen perangkat dan operator seluler merilis update Android sporadis jika sama sekali, perangkat Android banyak yang tidak menjalankan perangkat lunak terbaru, dan tidak bisa menjadi user-update.
Forristal menempatkan diplomatis:
"Ketersediaan pembaruan ini secara luas akan bervariasi tergantung pada pabrik dan model yang bersangkutan."
Jika penyerang berhasil mendapatkan kontrol dari perangkat Android - dan bluebox akan mengungkapkan rincian teknis dari kerentanan pada konferensi hacker Black Hat USA 2013 pada akhir Juli - hacker dasarnya mendapatkan kontrol dari semua hak akses pada telepon atau tablet.

Itu merupakan bencana bagi pengguna, terutama karena banyak pengguna Android, khususnya di negara-negara Asia dan Timur, menggunakan 500 + app store Android independen yang memiliki sedikit atau tidak ada prosedur otentikasi atau verifikasi untuk memastikan bahwa aplikasi yang melewati layanan mereka legit, membentuk kesempatan yang sempurna bagi pencuri tidak bermoral dan teknis-miring dan mata-mata untuk mendapatkan kontrol dari ponsel Anda.
Aku sudah meminta Google untuk komentar, dan menerima sangat sederhana, jawaban yang tegas dari perwakilan Google:

Kami tidak berkomentar.

Saya tidak yakin persis bagaimana untuk menafsirkan bahwa, tapi saya menduga bahwa Google ingin ini untuk mendapatkan sesedikit pers mungkin sambil mengacak perusahaan untuk mendapatkan banyak perangkat Android diperbarui mungkin sebelum akhir Juli.

Itu sebuah tantangan, karena banyak operator telah menginstal Franken-versi Android pada perangkat menjual dua atau tiga tahun yang lalu dengan antarmuka pengguna kustom dan crapware aplikasi pra-instal, dan mungkin tidak dapat berubah baru, versi update dari versi Android disesuaikan mereka cepat ... atau memiliki cara untuk mendistribusikan mereka secara ekonomi.
Pengguna yang tidak yakin status pembaruan telepon mereka atau yang tidak mampu untuk memperbarui harus sangat berhati-hati ketika menginstal aplikasi, bluebox mengatakan, dan pastikan untuk mengidentifikasi penerbit aplikasi sebelum menginstalnya. Selain itu, itu adalah ide yang baik untuk hanya menginstal aplikasi dari Google Play, di mana Google memiliki setidaknya beberapa kemampuan untuk memverifikasi dan memvalidasi aplikasi - meskipun itu tidak memberikan keamanan yang sempurna, kata Forristal.
"Orang harus melihat ke upgrade perangkat Android mereka dan bertanya dengan produsen perangkat mereka untuk melihat apakah mereka menangani masalah ini," kata Forristal saya melalui email. "Perusahaan perlu untuk berinvestasi dalam solusi keamanan mobile yang komprehensif yang melindungi integritas data mereka terhadap semacam ini kerentanan."

EXPECT US

1 komentar: