EZ-2-Uso módulo proporciona un solo clic explotación de algunos teléfonos Android
Hay un fallo de seguridad en Android que los fabricantes de dispositivos deben conocer. Este error se corrigió por Google en la Android 4.2 versión JellyBean, por lo que no es necesario entrar en pánico. Pero tantos dispositivos por ahí no tienen la haba de jalea o superior, sin embargo, y muchos más nunca lo harán, por lo que siguen siendo vulnerables. El error, evidentemente, ha estado alrededor por un tiempo y, la verdad, dijo, es un poco de una causa de preocupación, ya que permite ejecución de código malintencionado en un dispositivo con el mayor número de permisos que la aplicación desde la que se origina.
Cubrimos este error en detalle hace apenas un par de semanas, cuando nos enteramos de que Google Glass también es susceptible. Sin embargo, el corto de él es que HTML arbitrario y código javascript dentro de un WebView es capaz de acceder a los archivos de dispositivos y recursos con los mismos permisos elevados como la aplicación que contiene el elemento WebView comprometida.
Una herramienta llamada el módulo de Metasploit-Uso EZ-2 fue publicado en la página web Rapid7, con especificaciones técnicas completas e instrucciones, lo que permite un solo clic de explotación de este error. En un post relacionado en el blog Rapid7, explican que su objetivo es ayudar a educar a los vendedores de teléfonos inteligentes en esta vulnerabilidad, con la esperanza de ver a actualizaciones de dispositivos.
Tal vez podamos empujar algunos vendedores hacia asegurar que un solo clic vulnerabilidades como este no duran para 93+ semana en la naturaleza.
El principal punto de discusión aquí no es tanto el propio fallo. Errores ocurren, y Google ha arreglado, el problema es que los fabricantes y operadores de dispositivos están en control de tirar los cambios a sus dispositivos. Aparte de los parches de seguridad, esto ha causado rumores para muchos usuarios que pasan meses esperando a que la nueva versión de Android para llegar a sus dispositivos, si se ponen en absoluto. Algunos fabricantes han comprometido tentativamente para el despliegue de actualizaciones en tiempo y forma en el pasado, otros son hacer nuevas promesas a sus usuarios ahora, y hay rumores de que Google está aún buscando a restringir versión comunicados de Android, pero esto no ayuda a los dispositivos más antiguos.
Si su dispositivo Android más antigua ha sido cortada por su fabricante, y usted está en el mercado para una nueva, podríamos recomendar compruebas el Google Play teléfonos Edition y Propia línea Nexus de Google de los dispositivos. Los fabricantes se han comprometido a mantener el Google Play teléfonos Edition al día lo más rápido y durante tanto tiempo como sea posible. La línea Nexus, incluyendo el Galaxy Nexus, Nexus 4 y más recientemente el Nexus 5, se actualizan directamente de Google, por lo que estos son debatebly su mejor apuesta para el apoyo continuado.
¿Te sientes como un visitante a Misfit isla como el orgulloso propietario de un dispositivo olvidado? ¿Has pensado en instalar una ROM personalizada?