18/07/2013

18/07/2013

ReKey


No início de Julho surgiu um alerta para a vulnerabilidade "Master Key", que afectaria cerca de 99% dos dispositivos com sistemas operativos Android.


Esta vulnerabilidade permitiria a modificação do código de uma aplicação Android sem alterar a assinatura do pacote, conforme verificado pelo gestor de pacotes, o que tem sérias implicações quando se pensa em pacotes de sistema assinados.
Em termos mais simples, a vulnerabilidade descoberta permite que um "hacker" assuma o controle total do dispositivo.

A Google resolveu rapidamente o problema através de um patch para o Android Open Source Project, mas infelizmente, devido à forma como as actualizações são distribuídas pelos fabricantes dos smartphones, o mais provável é que demore meses até que o vosso equipamento receba o patch para corrigir este problema.


Para ultrapassar o problema das actualizações dos fabricantes e corrigir rapidamente esta vulnerabilidade, a Northeastern University e a Duo Security desenvolveram uma pequena aplicação, o ReKey.

O ReKey injecta um pequeno pedaço de código no framework Android que altera as classes ZipEntry e ZipFile, corrigindo assim a origem do problema.
Para além de corrigir os erros, o ReKey também instala um sistema de alerta que avisa o utilizador quando instalar um APK que tente abusar desta vulnerabilidade.
Para executar o ReKey é necessário ter root no dispositivo.


Existe uma outra app chamada Bluebox Security Scanner, criada pelos responsáveis pela divulgação da vulnerabilidade "Master Key", que mesmo depois de executar o ReKey continua a indicar que o dispositivo ainda está vulnerável.
Segundo o site do ReKey, a app Bluebox Security Scanner não estará a fazer a verificação da forma correcta, e garantem que o ReKey corrige definitivamente o problema.

Portanto, se têm um dispositivo com root, não percam tempo e instalem já o ReKey.


0 comments:

Enviar um comentário