Intel-bibliotek indeholder alvorlig SSL-sårbarhed på Android

1. august 2016 kl. 16:002
En fejl i open source-biblioteket Crosswalk kan gøre man-in-the-middle-angreb nemmere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Udviklere, der anvender Intels Crosswalk-bibliotek i forbindelse med Android-platformen, bør patche deres software og sende opgraderinger ud til klienterne. Det fortæller The Register.

En fejl i den måde hvorpå open source-biblioteket håndterer SSL-problemer, kan nemlig gøre det lettere at udføre et man-in-the-middle angreb. Altså hvor en angriber kan opfange og manipulere med den kommunikation en bruger har med eksempelvis et website.

Konsulentfirmaet Nightwatch Cyber Security forklarer i en advisory, at hvis en bruger først én gang har accepteret et ugyldigt eller selv-signeret SSL-certifikat, så husker den fejlramte udgave af Crosswalk brugerens valg fremover.

Det vil sige, at fremtidige certifikater automatisk bliver accepterede uanset om de er selv-signerede eller ugyldige, uden brugeren bliver gjort opmærksom på dette.

Artiklen fortsætter efter annoncen

Crosswalk understøtter både Android, iOS og Windows Phone, men det er kun på Android, at fejlen er rapporteret.

'Pirate Treasures' er en af de apps, der anvender Crosswalk. App'en skulle være downloadet mere end 10 millioner gange.

SSL-fejlen ligger i alle tre branches af Crosswalk til Android. Det vil sige stable, beta og 'canary'.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
1. august 2016 kl. 20:36

Måske du skulle sætte dig ind i forskellen på et program, et library og et framework inden du kloger dig.

I øvrigt er bibliotek den gængse oversættelse.

1
1. august 2016 kl. 19:42

Bibliotek er en pænt dårlig oversættelse af ' library '

Katalog, framework, kode, program osv er bedre og mere sigende..

Og nu hvor jeres læsere alligevel er teknisk kyndige kunne i bare bruge ' library'..