EZ-2-Utiliser module fournit un seul clic l'exploitation de certains téléphones Android
Il ya un bug de sécurité dans les applications que les fabricants de périphériques devraient connaître. Ce bug a été corrigé par Google dans les Android version 4.2 JellyBean, de sorte que nous ne devons pas céder à la panique. Mais si de nombreux appareils sur il ne pas Jelly Bean ou plus encore, et beaucoup d'autres ne le feront jamais, de sorte qu'ils restent vulnérables. Le bug a évidemment été autour depuis un certain temps et, la vérité a dit, est un peu une cause de préoccupation, car il permet d'exécuter du code malveillant sur un appareil avec autant d'autorisations que l'application d'où elle provient.
Nous avons couvert ce bug en détail il ya quelques semaines, lorsque nous avons appris que Google verre est également sensible. Mais le court, ce qui est du code HTML et javascript à partir d'une WebView est en mesure d'accéder aux fichiers et les ressources périphériques avec les mêmes autorisations élevées que l'application qui contient l'élément de WebView compromise.
Un outil appelé le module EZ-2-Utiliser Metasploit a été publié sur le site Rapid7, avec des spécifications techniques complètes et les instructions, ce qui permet en un clic d'exploitation de ce bug. Dans un post sur le blog lié Rapid7, ils expliquent que leur but est d'aider à éduquer les vendeurs de smartphones sur cette vulnérabilité, dans l'espoir de voir les mises à jour de l'appareil.
Nous pouvons peut-être pousser certains fournisseurs envers assurant que seul clic vulnérabilités de ce genre ne durent pas 93+ semaines à l'état sauvage.
Le principal point de discorde est ici non pas tant le bogue lui-même. Bugs se produisent, et Google a fixé, le problème est que les fabricants d'appareils et les transporteurs sont en contrôle de rouler les mises à jour de leurs appareils. Mis à part les correctifs de sécurité, ce qui a provoqué des rumeurs pour de nombreux utilisateurs qui passent des mois d'attente pour la nouvelle version d'Android pour se rendre à leurs dispositifs, si elles obtiennent du tout. Certains fabricants ont provisoirement engagé à déployer les mises à jour en temps opportun dans le passé, d'autres sont faire de nouvelles promesses à leurs utilisateurs l'entreprise, et il est rumeur que Google envisage même à restreindre la version Android de presse aujourd'hui, mais cela ne résout pas les appareils plus anciens.
Si votre appareil Android plus âgé a été coupé par son fabricant, et vous êtes dans le marché pour un nouveau, nous pourrions vous recommandons de consulter le Google Play téléphones Édition et Nexus propre ligne de Google des dispositifs. Les fabricants ont promis de garder le Google Play téléphones édition à jour aussi rapidement et aussi longtemps que possible. La ligne de Nexus, y compris le Galaxy Nexus, Nexus 4 et plus récemment le Nexus 5, sont mis à jour directement à partir de Google, ce sont donc debatebly votre meilleur pari pour un soutien continu.
Vous sentez-vous comme un visiteur de Misfit île comme le fier propriétaire d'un appareil de passe oublié? Avez-vous envisagé d'installer une ROM personnalisée?