Zlonamjerne datoteke ponovno su se našle na Android Market-u, pri čemu su oteti skup aplikacija, obrnuto dizajnirani s ubrizganim zlonamjernim kodom i objavljeni zajedno sa zakonitim aplikacijama.
Prvo treba spomenuti dvije stvari - Google je već uklonio aplikacije s tržišta, a ovaj put su utjecali samo na korisnike u Kini, odakle i oni potječu. Ako čitate ovu priču, vjerojatno ste na sigurnom i nikada niste bili u opasnosti. Ali to je još uvijek velika briga. Skup negativaca (to je moja verzija sigurnog za posao) uspio je ukloniti programe kod zakonitog razvojnog programera, staviti neki kôd koji šalje SMS poruke kineskoj službi pretplate, a zatim su poduzeli neke stvarno genijalne korake da zadrže sve skriveno od korisnika. To će se dogoditi, jer sve što je elektroničko i dovoljno popularno je meta. Ono što se tiče toga je da se oni probijaju na Android Marketu.
Dopustite mi da nakon pauze imam nekoliko stotina riječi o tome.
Izvor: AegisLabs putem Sophosa; Hvala, Tony Bag o 'Donuts!
Rastrgan sam. Kao korisnik i na osobnoj razini kažem ostaviti sve otvorenim i prisiliti korisnike da budu marljivi i instaliraju samo aplikacije u koje imaju povjerenja, bez obzira odakle dolaze. Saznajte što su dopuštenja i zašto im aplikacija može, a ne treba (npr. Adobe Reader). No, kao bloger i (nadam se) poštovan autoritet za Android, odgovorna sam prema našim čitateljima da žele ono što je najbolje za njih. To ste vi momci. Mnogi od vas uvažavaju autoritete Androida i nemaju problema razabrati što je sigurno, a što nije. Mnogi drugi nisu i ovise o Android Centralu i drugim internetskim resursima kako bi pružili dobre savjete o tome kako ostati siguran. Ovo me ostavlja pomalo kiselo.
Dok sam čitao razne sigurnosne publikacije o ovoj, naišao sam na zaista zanimljivu ideju Vanje Svajcer iz Sophosa. Njegova je ideja jednostavna i laka za implementaciju - potrebne su nam dvije skupine ključeva za potpis. Aplikacije koje žele ili trebaju raditi poput slanja SMS poruka ili se igrati s popisom kontakata trebale bi upotrebljavati skup ovjerenih ključeva vezanih za zakoniti račun programera koji je odobrio Google. Dopustite da prstene aplikacije i teme nastave koristiti ključeve generirane od korisnika - nemojte prisiljavati programere hobija da skaču kroz bilo kakve obruče za ljude u Mountain Viewu ako neće raditi ništa što bi moglo stvoriti potencijalni sigurnosni problem. Ali trenutka kada aplikacija želi pristupiti vašem telefonskom imeniku ili koristiti vaš GMail authToken, provjerite ključ za potpis i potvrdite ga. Korisnike čuvajte i oni će ostati zadovoljni. Sretni korisnici kupuju više aplikacija i više Androidovih proizvoda. Raketna znanost nije. Vanja je ovaj udarila noktom po glavi - što kažete, Google?
Anyhoo, ovaj je gotov. Ako vas zanima, evo popisa aplikacija na koje je to utjecalo. Imajte na umu da su svi odmah uklonjeni s tržišta, a utjecali su samo na korisnike s kineskim lokalom i telefonskim brojem.
- iBook
- iCartoon
- LoveBaby
- 3D kocka užas strašna
- Morska lopta
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- iminske
- iGuide
Pratit ćemo stvari i obavijestiti vas kad se sljedeći put dogodi. I bit će sljedeći put - kompromis za mogućnost pokretanja brzih aplikacija poput Handcenta ima aplikacije koje koriste iste funkcije i otvorenost za stvari koje radije ne bismo imali. U ovom trenutku morat ću vam predložiti dvije stvari:
- Koristite "virus" skener. Da, znam da nema virusa za Android, ali imena se nekako zaglave. Svi dosadašnji sigurnosni problemi zahtijevali su krajnjeg korisnika da ga želi instalirati. Nećete se zaraziti ničim samo korištenjem telefona. Na tržištu možete izabrati nekoliko. Svi rade, pa provjerite značajke svakog i napravite izbor. Onda se radujte što imamo prljave poslove za nas.
- Ne instalirajte nijednu aplikaciju koja ne bi trebala biti. Da, primamljivo je i napravili smo prilično lako s Sideload Wonder Machine-om (ali to nije bila moja namjera!). Sigurnosni blogeri ne pušu samo dim kad vas upozoravaju na ovo. Ako ste sposobni, pogodite jedan od tih gusarskih foruma aplikacija i preuzmite pregršt, a zatim ih obratite i uporedite ih sa službenim verzijama. Ako niste sposobni, samo nam vjerujte. Otprilike polovica njih ima neke ozbiljne razlike u kodu. Držite se aplikacija s kojima imate povjerenja. Ili se pridržavajte Tržišta - ako vam se zaglavi trojanski Google, popravit će vas. Ne samo da programeri zaslužuju nekoliko dolara koje traže za svoj naporan rad, na kraju ćete biti sigurniji.
