تایید گواهی‌نامه‌های دیجیتالی جعلی در اندروید

این آسیب‌پذیری مربوط به روشی است که اندروید گواهی‌نامه‌ها را اعتبار‌سنجی می‌کند و تمام نسخه‌های اندروید از نسخه‌ی 2.1 تا آخرین نسخه یعنی 4.4 معروف به کیت‌کت آسیب‌پذیر می‌باشند. سوء‌استفاده از این آسیب‌پذیری ممکن است کنترل کامل دستگاه را برای مهاجم فراهم آورد، به خصوص در دستگاه‌هایی که افزونه‌ی مدیریتی 3LM دارند تشدید می‌شود، یعنی دستگاه‌های اندرویدی شرکت‌هایSharp ،HTC  Sony Ericsson ،Pantech و Motorola در خطر بیش‌تری قرار دارند.

لازم به ذکر است که این آسیب پذیری توسط محققان شرکت امنیتی Bluebox کشف شده است. Jeff Forristal، مدیر شرکت امنیتی BlueBox در مصاحبه‌ای اعلام داشت که راه‌هایی برای سوء‌استفاده از این آسیب‌پذیری وجود دارد و شرح کامل آن و همچنین روش‌های سوء‌استفاده از آن در کنفرانس آینده‌ی Defcon ارائه خواهد شد.

یکی دیگر از راه‌های سوء‌استفاده از این آسیب‌پذیری این است که مهاجم یک نرم‌افزار با امضای پرونده‌ی nfc_access.xml در دستگاه داشته باشد، این امضاء مربوط به کیف‌پول گوگل است، و سپس نرم‌افزار قادر خواهد بود که به NFC دستگاه دست‌رسی پیدا کند. NFC، فناوری ارتباط نزدیک، یک روش ارتباط با دستگاه‌های پرداخت وجه الکترونیکی از طریق فناوری بی‌سیم در محدوده‌ی نزدیک است.

به کاربران توصیه می‌شود در اولین فرصت دستگاه‌های اندرویدی خود را به آخرین نسخه‌ی اندروید که دستگاه آن‌ها پشتیبانی می‌کند، به‌روز کنند تا از خطرات احتمالی این آسیب‌پذیری‌ها در امان باشند.