Imajući smisla za najnoviju androidu "master key" sigurnost

Nema zakretanja, bez sranja, samo jasan jednostavan razgovor o tome što se događa u ovom trenutku

Potrebni su neki stvarni razgovori o ovom iskorištavanju koje je zaštitni tim Bluebox otkrio. Prvo što treba znati je da ste vjerojatno pogođeni. To je eksploatacija koja radi na svakom uređaju koji nije zakrpljen od Androida 1.6. Ako ste ukorijenili i ugradili svoj telefon, slobodno sve to možete ignorirati. Ništa od ovoga ne znači za vas, jer postoji čitav različit skup sigurnosnih problema koji se isporučuju s korijenskim i prilagođenim ROM-ovima o kojima morate brinuti.

Ako u svojim postavkama nema potvrđenog zloglasnog okvira s nepoznatim izvorima, to vam sve ne znači. Nastavite, i budite slobodni biti malo samozadovoljni i pravedni - zaslužili ste to što si čitavo vrijeme izbjegavao tovar sa strane, u slučaju da se ovako nešto može dogoditi. Ako ne znate što to znači, pitajte nekoga.

Za ostale nas čitajte prije odmora.

Više: IDG News Service.

Što je?

Sve aplikacije na vašem Androidu potpisane su kriptografskim ključem. Kada dođe vrijeme za ažuriranje te aplikacije, nova verzija mora imati isti digitalni potpis kao stara ili se neće prebrisati. Ne možete ga ažurirati, drugim riječima. Nema izuzetaka, a programeri koji izgube ključ za potpis moraju stvoriti potpuno novu aplikaciju koju moramo ponovo preuzeti. To znači početi od nule. Sva nova preuzimanja, sve nove recenzije i ocjene. To nije trivijalna stvar.

Sistemske aplikacije - one koje su na vaš telefon instalirane s HTC-a ili Samsung-a ili Googlea - također imaju ključ. Te aplikacije često imaju potpuni pristup administratoru za sve na vašem telefonu, jer su one od pouzdanog programa proizvođača. Ali to su još uvijek samo aplikacije.

Još me pratite?

Ono o čemu sada govorimo, ono o čemu Bluebox govori jest metoda otvaranja Android aplikacije i promjene koda bez ometanja kriptografskog ključa. Veselimo se kada hakeri dobivaju oko zaključanih dizača, a ovo je isti način iskorištavanja. Kad nešto zaključate, drugi će pronaći način ako se dovoljno potrude. A kada je vaša platforma najpopularnija na planeti, ljudi se jako trude.

Dakle, netko može uzeti sistemsku aplikaciju s telefona. Samo je izvucite. Pomoću ovog iskorištavanja oni ga mogu uređivati ​​za gadne stvari - dati mu novi broj verzije i ponovno ga spakirati zadržavajući isti, valjani ključ za potpis. Zatim biste potencijalno mogli instalirati ovu aplikaciju iznad postojeće kopije i sada imate aplikaciju namijenjenu lošim stvarima i ima potpuni pristup vašem čitavom sustavu. Aplikacija će cijelo vrijeme izgledati i ponašati se normalno - nikad nećete znati da se nešto ribarsko događa.

Jao.

Što se radi na tome?

Ljudi iz Blueboxa rekli su cijelom Savezu otvorenih slušalica o tome još u veljači. Google i OEM proizvođači odgovorni su za krpanje stvari kako bi se to spriječilo. Samsung je svoj dio odradio s Galaxyjem S4, ali svaki drugi telefon koji prodaju je ranjiv. HTC i Jedan nisu napravili pad, tako da su svi HTC-ovi telefoni ranjivi. U stvari, svaki telefon osim Samsung Touchwiz verzije Galaxy S4 je ranjiv.

Google još nije ažurirao Android za zakrpu ovog problema. Zamišljam da naporno rade na tome - pogledajte pitanja koja je Chainfire prošao iz korijena Android 4.3. No, Google nije sjedio besposleno i ignorirao ga. Trgovina Google Play "zakrpljena je" tako da se nijedne prirasle aplikacije ne mogu prenijeti na Googleove poslužitelje. To znači da je svaka aplikacija koju preuzmete s Google Playa čista - barem što se tiče određenog iskorištavanja. Ali mjesta poput Amazona, Slide Me, i naravno svi oni puknuti APK forumi vani su širom otvoreni i svaka aplikacija može imati loš JuJu unutar nje.

Dakle, ovo je stvarno velika stvar?

Da, to je velika stvar. A u isto vrijeme, ne, stvarno nije.

Google će zakrpati način na koji Android ažurira aplikacije ili način na koji su potpisani. U ovoj igri mačaka i miša ovo je normalna pojava. Google pušta softver, hakeri (i dobre i loše vrste) pokušavaju ga iskoristiti, a kada to učini, Google promijeni kôd. Tako funkcionira softver, a ovakve stvari treba očekivati ​​kada imate dovoljno pametnih ljudi koji se pokušavaju probiti.

S druge strane, telefon koji imate sada možda nikad neće vidjeti ažuriranje koje bi to popravilo. Pakao, Samsungu je trebalo gotovo godinu dana da krpa preglednik pred eksploatacijom koja bi mogla izbrisati sve vaše korisničke podatke na samo nekim od njegovih telefona. Ako imate telefon za koji očekujete da će biti ažuriran na Android 4.3, vjerojatno ćete se popraviti. Ako ne, to je svačija pretpostavka. To je loše - vrlo loše. Ne pokušavam slagati ljude koji prave naše telefone, ali istina je istina.

Što mogu učiniti?

• Ne preuzimajte nijednu aplikaciju izvan Google Playa.
• Ne preuzimajte nijednu aplikaciju izvan Google Playa.
• Ne preuzimajte nijednu aplikaciju izvan Google Playa.
• U stvari, idite naprijed i isključite dopuštenje nepoznatih izvora ako želite. Učinio sam. Sve drugo vas čini ranjivima. Neke će aplikacije "Anti-Virus" provjeriti jesu li vam nepoznati izvori omogućeni ako niste sigurni. Uključite se u forume i otkrijte koji je svaki za koga kaže da je najbolji ako treba.
• Izrazite svoje nezadovoljstvo time što telefon nećete dobiti bitna sigurnosna ažuriranja. Pogotovo ako ste još na dvogodišnjem (ili trogodišnjem - zdravo Kanadi!) Ugovoru.
• Ukrenite svoj telefon i instalirajte ROM koji ima neke popravke - popularne će se vjerojatno pojaviti vrlo brzo.

Dakle, ne paničarite. Ali budite proaktivni i koristite neki zdrav razum. Sada je stvarno dobro vrijeme da prestanete instalirati napukle aplikacije, jer ljudi koji rade na krekanju su isti oni ljudi koji bi mogli ubaciti zli kod u aplikaciju. Ako dobijete obavijesti o ažuriranju koje dolaze s mjesta koje nije Google Play, obavijestite nekoga. Recite nam ako trebate. Otkrijte ljude koji pokušavaju prenijeti te podvige i pružite im veliku dozu javnog sramoćenja i izlaganja. Žohari mrze svjetlost.

To će proći kao i uvijek zbog sigurnosnih zastrašivanja, ali drugi će ući u napuniti cipele. To je priroda zvijeri. Budite sigurni momci.