Recomendações para simplificar a migração de sistema operacional
Os hackers podem roubar as credenciais de login e outros dados sensíveis de um em cada 10 aplicações bancárias Android, e cerca de seis por cento de todos os aplicativos para Android, pesquisadores da IBM avisar.
Os usuários devem evitar o uso de aplicativos vulneráveis, que foram construídas utilizando Apache Cordova até a versão 3.5.0, até que tenham sido atualizados para esmagar o bug.
Equipe X-Force Research Segurança da Big Blue descobriu o que descreveu como uma " séria vulnerabilidade "em Cordova , um kit de ferramentas para a elaboração de software móvel usando HTML, CSS e JavaScript. O kit utilitário foi anteriormente conhecido como PhoneGap.
Um buraco de scripting cross-aplicação (CAS) permite que os meliantes para executar remotamente código JavaScript malicioso no contexto de um aplicativo Cordova construído vulneráveis, os funcionários da IBM dizem. É possível explorar outros insetos dentro de Cordova para depois desviar informações sensíveis, tais como cookies de login.
O buraco CAS pode ser explorada por enganar uma marca a visitar um site malicioso usando seu tablet ou smartphone Android: em um drive-by exploração, o site pode executar o código como se fosse o aplicativo atacado com os mesmos privilégios e direitos de acesso como o software instalado.
Deixadas de lado, o bug de segurança pode ser abusado para levantar as credenciais de contas bancárias online que dariam criminosos a possibilidade de retirar ou transferir fundos de uma conta bancária para outra, dizem-nos.
A equipe de IBM Security relatada em particular as vulnerabilidades do projeto Cordova antes de ir a público na terça-feira, assim que uma versão corrigida-up do quadro já está disponível.
Os pesquisadores de segurança "altamente recomendável que todos os desenvolvedores atualização para a última versão Cordova (3.5.1) ", bem como atenção pagar para atenuações descritas em um papel branco IBM .
Aplicativos reconstruído, também terá de ser liberado para os usuários. A falha afeta apenas software no Android, e não no iOS da Apple.
De acordo com o AppBrain, a falha afeta 5,8 por cento de aplicativos Android. Testes por pesquisadores que utilizam a tecnologia da IBM AppScan Móvel Analyzer revelou que 25 dos 248 aplicativos bancários foram construídos usando Cordova. IBM Worklight, que usa Apache Cordova, já foi corrigido. ®
Nenhum comentário:
Postar um comentário