PHREAKING ~ Código móvel: invocando código móvel não confiável

Descrição

Este ataque consiste de uma manipulação a um código de celular, a fim de executar

as operações maliciosas no lado do cliente. Ao interceptar o tráfego do cliente
usando a técnica man-in-the-middle, um usuário mal-intencionado poderia modificar o
código móvel original com operações arbitrárias que serão executados na máquina do
cliente em suas credenciais. Em outro cenário, o código malicioso móvel poderia ser
hospedado em um site não confiável ou pode ser permanentemente injetado em um site
vulnerável através de um ataque de injeção. Este ataque pode ser realizado ao longo
dos aplicativos Java ou C + + e afeta qualquer sistema operacional.

Exemplos

O código a seguir demonstra como este ataque poderia ser realizado através de um
applet Java.

// here declarer a object URL with the path of the malicious class
URL[] urlPath= new URL[]{new URL("file:subdir/")};

// here generate a object “loader” which is responsible to load a class in the URL
path
URLClassLoader classLoader = new URLClassLoader(urlPath);

//here declare a object of a malicious class contained in “classLoader”

Class loadedClass = Class.forName("loadMe", true, classLoader);<br><br>

Para resolver este problema, é necessário usar algum tipo de mecanismo de

integridade, para assegurar que o código móvel não foi modificado.