Intel-bibliotek indeholder alvorlig SSL-sårbarhed på Android
Udviklere, der anvender Intels Crosswalk-bibliotek i forbindelse med Android-platformen, bør patche deres software og sende opgraderinger ud til klienterne. Det fortæller The Register.
En fejl i den måde hvorpå open source-biblioteket håndterer SSL-problemer, kan nemlig gøre det lettere at udføre et man-in-the-middle angreb. Altså hvor en angriber kan opfange og manipulere med den kommunikation en bruger har med eksempelvis et website.
Konsulentfirmaet Nightwatch Cyber Security forklarer i en advisory, at hvis en bruger først én gang har accepteret et ugyldigt eller selv-signeret SSL-certifikat, så husker den fejlramte udgave af Crosswalk brugerens valg fremover.
Det vil sige, at fremtidige certifikater automatisk bliver accepterede uanset om de er selv-signerede eller ugyldige, uden brugeren bliver gjort opmærksom på dette.
Crosswalk understøtter både Android, iOS og Windows Phone, men det er kun på Android, at fejlen er rapporteret.
'Pirate Treasures' er en af de apps, der anvender Crosswalk. App'en skulle være downloadet mere end 10 millioner gange.
SSL-fejlen ligger i alle tre branches af Crosswalk til Android. Det vil sige stable, beta og 'canary'.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
