Разбиране на най-новия андроид "главен ключ" страх за сигурност

Без завъртане, без глупости, просто ясно разказване за това, което се случва този път

Необходими са някои истински приказки за този експлоатация, която екипът за сигурност Bluebox откри. Първото нещо, което трябва да знаете е, че вероятно сте засегнати. Това е експлоатация, която работи на всяко устройство, което не е кръпка от Android 1.6. Ако сте се вкоренили и ROM сте си телефон, можете свободно да игнорирате всичко това. Нищо от това не се счита за вас, тъй като има съвсем различен набор от проблеми, свързани със сигурността, които се предлагат с root и персонализирани ROM, за които да се тревожите.

Ако нямате отмененото скандално поле „Неизвестни източници“ в настройките си, всичко това не означава нищо за вас. Продължете и се чувствайте свободни да бъдете малко самодоволни и самонадеяни - заслужавате си това, че избягвате страничното зареждане през цялото това време, в случай че може да се случи нещо подобно. Ако не знаете какво означава това, попитайте някого.

За останалите от нас четете след почивката.

Още: IDG News Service.

Какво е?

Всички приложения на вашия Android са подписани с криптографски ключ. Когато дойде време за актуализиране на това приложение, новата версия трябва да има същия цифров подпис като старата или няма да се презаписва. Не можете да го актуализирате, с други думи. Няма изключения и разработчиците, които загубят ключа си за подписване, трябва да създадат чисто ново приложение, което трябва да изтеглим отначало. Това означава да започнете от нула. Всички нови изтегляния, всички нови отзиви и оценки. Това не е тривиален въпрос.

Системните приложения - тези, които са инсталирани на вашия телефон от HTC или Samsung или Google - също имат ключ. Тези приложения често имат пълен администраторски достъп до всичко на вашия телефон, тъй като те са надеждни приложения от производителя. Но те все още са само приложения.

Все още ме следвате?

Това, за което говорим сега, това, за което говори Bluebox, е метод за разкъсване на приложение за Android и промяна на кода, без да се нарушава криптографският ключ. Развеселяваме се, когато хакерите обикалят заключените зареждащи устройства и това е същия вид експлоатация. Когато заключите нещо, другите ще намерят начин, ако се опитат достатъчно. И когато вашата платформа е най-популярната на планетата, хората се опитват много.

Така че, някой може да вземе системно приложение от телефон. Просто го издърпайте веднага. Използвайки този експлоатация, те могат да го редактират, за да върши неприятни неща - да му дадат нов номер на версията и да го пакетират отново, като запазват същия валиден ключ за подписване. След това бихте могли потенциално да инсталирате това приложение над съществуващото си копие и вече имате приложение, предназначено да върши лоши неща и то има пълен достъп до цялата ви система. През цялото време приложението ще изглежда и ще се държи нормално - никога няма да разберете, че става нещо рибно.

Олеле.

Какво се прави по въпроса?

Хората в Bluebox разказаха на целия Open Handset Alliance за това през февруари. Google и OEM производителите са отговорни за кръпка на нещата, за да го предотвратят. Samsung направи своята част с Galaxy S4, но всеки друг телефон, който продават, е уязвим. HTC и One не успяха да намалят, така че всички телефони на HTC са уязвими. Всъщност всеки телефон с изключение на Samsung Touchwiz версия Galaxy S4 е уязвим.

Google все още не е актуализирал Android, за да заправи този проблем. Представям си, че работят усилено върху това - вижте проблемите, които Chainfire премина през вкореняване на Android 4.3. Но Google не седеше бездействащо и не го игнорира. Магазинът в Google Play е „закърпен“, така че да не могат да се качват приложения, подправени на сървърите на Google. Това означава, че всяко приложение, което изтеглите от Google Play, е чисто - поне що се отнася до този конкретен подвиг. Но места като Amazon, Slide Me и разбира се всички онези напукани APK форуми там са широко отворени и всяко приложение може да има лош JuJu вътре в него.

Значи това е наистина голяма работа?

Да, това е огромна сделка. И в същото време, не, всъщност не е така.

Google ще коригира начина, по който Android актуализира приложенията или начина, по който са подписани. В тази игра с котки и мишки това е нормално явление. Google пуска софтуер, хакерите (както добрият, така и лошият вид) се опитват да го използват и когато го правят, Google променя кода. Ето как работи софтуерът и подобно нещо трябва да се очаква, когато имате достатъчно умни хора, които се опитват да пробият.

От друга страна, телефонът, който имате сега, може да не вижда актуализация, която да коригира това. По дяволите, отне на Samsung почти една година, за да закърпи браузъра срещу експлоатация, която може да изтрие всичките ви потребителски данни само на някои от неговите телефони. Ако имате телефон, който очаквате да бъде актуализиран до Android 4.3, вероятно ще получите кръпка. Ако не, това е предположението на никого. Това е лошо - много лошо. Не се опитвам да шлакам на хората, които ни правят телефони, но истината е истина.

Какво мога да направя?

• Не изтегляйте приложения извън Google Play.
• Не изтегляйте приложения извън Google Play.
• Не изтегляйте приложения извън Google Play.
• Всъщност, продължете напред и изключете разрешението от неизвестни източници, ако желаете. Направих. Всичко друго ви оставя уязвими. Някои приложения „Антивирус“ ще проверят дали имате активирани неизвестни източници, ако не сте сигурни. Влезте във форумите и разберете кой от всички казва, че е най-добрият, ако трябва.
• Изразете недоволството си от това, че не получавате съществени актуализации за сигурност за вашия телефон. Особено, ако все още сте на този двугодишен (или тригодишен - здравей Канада!) Договор.
• Изкоренете телефона си и инсталирайте ROM, който има някакъв вид поправка - популярните вероятно ще има много скоро.

Така че не се паникьосвайте. Но бъдете активни и използвайте някакъв здрав разум. Сега е наистина подходящ момент да спрете да инсталирате напукани приложения, защото хората, които извършват крекинга, са същите хора, които биха могли да вложат зъл код в приложението. Ако получите известия за актуализация, които идват от място, различно от Google Play, кажете на някого. Кажете ни, ако имате нужда. Разберете хората, които се опитват да предадат тези подвизи и им дайте голяма доза публично срам и излагане. Хлебарките мразят светлината.

Това ще премине, както винаги плаши сигурността, но друг ще влезе, за да напълни обувките си. Това е природата на звяра. Бъдете сигурни момчета.