Dáva zmysel pre najnovšie Android 'Master kľúč' bezpečnostné strach

Žiadne točenie, žiadne kecy, len jasné jednoduché rozprávanie o tom, čo sa tentokrát deje

Je potrebné reálne hovoriť o tomto zneužití, ktoré objavil bezpečnostný tím Blueboxu. Prvá vec, ktorú treba vedieť, je, že vás to pravdepodobne ovplyvní. Je to zneužitie, ktoré funguje na každom zariadení, ktoré nebolo opravené od verzie Android 1.6. Ak ste si zakorenili telefón a ROM si ho mohli všetky ignorovať. Nič z toho sa pre vás nepočíta, pretože existuje celý rad bezpečnostných problémov, ktoré prichádzajú s koreňovými a vlastnými ROM, aby ste si robili starosti.

Ak v nastaveniach nemáte začiarknuté políčko neslávne známych zdrojov „Neznáme zdroje“, pre vás to všetko znamená nič. Pokračujte a neváhajte byť trochu samoľúby a spravodliví - zaslúžite si to po celú dobu, aby ste sa vyhli vedľajšiemu zaťaženiu pre prípad, že by sa niečo také mohlo stať. Ak neviete, čo to znamená, spýtajte sa niekoho.

Pre nás ostatných si prečítajte túto prestávku.

Viac informácií: IDG News Service.

Čo je to?

Všetky aplikácie v systéme Android sú podpísané kryptografickým kľúčom. Keď je čas aktualizovať túto aplikáciu, nová verzia musí mať rovnaký digitálny podpis ako starý, inak sa neprepíše. Inými slovami to nemôžete aktualizovať. Neexistujú žiadne výnimky a vývojári, ktorí stratia podpisový kľúč, musia vytvoriť úplne novú aplikáciu, ktorú musíme znova stiahnuť. To znamená začať od nuly. Všetky nové stiahnuté súbory, všetky nové recenzie a hodnotenia. Nie je to triviálne.

Kľúčové sú aj systémové aplikácie - tie, ktoré boli do telefónu nainštalované zo zariadení HTC, Samsung alebo Google. Tieto aplikácie majú často úplný prístup správcu ku všetkému v telefóne, pretože ide o dôveryhodné aplikácie od výrobcu. Ale stále sú to len aplikácie.

Stále ma sledujete?

O čom teraz hovoríme, o čom hovorí Bluebox, je metóda roztrhnutia otvorenia aplikácie pre Android a zmeny kódu bez narušenia kryptografického kľúča. Tešíme sa, keď hackeri obchádzajú uzamknuté bootloadery, a to je ten istý druh zneužitia. Ak niečo uzamknete, nájdu cestu iní, ak sa budú snažiť dostatočne tvrdo. A keď je vaša platforma najpopulárnejšia na tejto planéte, ľudia sa to veľmi snažia.

Niekto si teda môže vziať systémovú aplikáciu z telefónu. Len to vytiahnite. Pomocou tohto zneužitia ho môžu upravovať tak, aby robili nepríjemné veci - pridelili mu nové číslo verzie a zabalili ho späť, pričom si zachovali rovnaký platný podpisovací kľúč. Túto aplikáciu by ste potom mohli nainštalovať priamo na existujúcu kópiu a teraz máte aplikáciu navrhnutú na robenie zlých vecí a má úplný prístup k celému systému. Po celú dobu bude aplikácia vyzerať a správať sa normálne - nikdy nebudete vedieť, čo sa deje.

Och.

Čo sa s tým stalo?

Ľudia z Blueboxu o tom informovali celú alianciu Open Handset Alliance vo februári. Spoločnosti Google a OEM sú zodpovedné za opravu záležitostí, aby tomu zabránili. Spoločnosť Samsung sa podieľala na Galaxy S4, ale všetky ostatné telefóny, ktoré predávajú, sú zraniteľné. HTC a Ten nerobili rez, takže všetky telefóny HTC sú zraniteľné. V skutočnosti je každý telefón okrem verzie Samsung Touchwiz Galaxy S4 zraniteľný.

Google zatiaľ neaktualizoval Android, aby problém vyriešil. Viem si predstaviť, že na tom tvrdo pracujú - pozrite si problémy, ktoré Chainfire prešiel zakorenením systému Android 4.3. Google však nečinne sedel a ani to ignoroval. Obchod Google Play bol „oprava“, takže na servery Google nie je možné nahrať žiadne neoprávnené aplikácie. To znamená, že každá aplikácia, ktorú si stiahnete zo služby Google Play, je čistá - aspoň pokiaľ ide o toto konkrétne využitie. Ale miesta ako Amazon, Slide Me a samozrejme všetky popraskané fóra APK tam sú široko otvorené a každá aplikácia by mohla mať v sebe zlý JuJu.

Takže toto je naozaj veľký problém?

Áno, je to obrovský obchod. A zároveň nie, to naozaj nie je.

Google opraví spôsob aktualizácie aplikácií pre Android alebo spôsob, akým sú podpísané. V tejto hre „mačka a myš“ je to normálny jav. Google vydáva softvér, hackeri (dobrí aj zlí) sa ho snažia zneužiť a keď to urobia, Google zmení kód. Takto softvér funguje a takéto veci by sa mali očakávať, keď sa dosť inteligentných ľudí snaží preniknúť.

Na druhej strane, telefón, ktorý máte teraz, nemusí vidieť aktualizáciu, ktorá by túto chybu vyriešila. Do pekla, spoločnosť Samsung zabrala prehliadač takmer rok, kým nevyužil zneužitie, ktoré by mohlo vymazať všetky vaše používateľské údaje iba na niektorých jeho telefónoch. Ak máte telefón, u ktorého očakávate, že bude aktualizovaný na systém Android 4.3, pravdepodobne ho opravíte. Ak nie, je to hádanie. To je zlé - veľmi zlé. Nesnažím sa troskovať ľuďom, ktorí vyrábajú naše telefóny, ale pravda je pravda.

Čo môžem urobiť?

• Nesťahujte žiadne aplikácie mimo Google Play.
• Nesťahujte žiadne aplikácie mimo Google Play.
• Nesťahujte žiadne aplikácie mimo Google Play.
• Ak chcete, v skutočnosti pokračujte a vypnite povolenie pre neznáme zdroje. Urobil som. Čokoľvek iné vás necháva zraniteľným. Niektoré aplikácie „Anti-Virus“ skontrolujú, či nemáte povolené zdroje, ak si nie ste istí. Vstúpte do fóra a zistite, ktorý z nich každý hovorí, že je najlepší, ak potrebujete.
• Vyjadrite svoje potešenie z toho, že pre váš telefón nedostanete dôležité bezpečnostné informácie. Najmä ak ste stále na tej dvojročnej (alebo trojročnej) ahoj Kanade!) Zmluve.
• Rootujte svoj telefón a nainštalujte si ROM, ktorý má nejakú opravu - populárne budú pravdepodobne mať čoskoro.

Takže nepropadajte panike. Ale buďte aktívny a používajte zdravý rozum. Teraz je naozaj dobrý čas prestať inštalovať prasknuté aplikácie, pretože ľudia, ktorí robia cracking, sú rovnakými druhmi ľudí, ktorí by do aplikácie mohli vložiť zlý kód. Ak dostanete nejaké aktualizácie, ktoré pochádzajú z iného miesta ako Google Play, povedzte to niekomu. Povedzte nám, ak potrebujete. Zistite ľudí, ktorí sa snažia preniesť tieto zneužívania a dať im veľkú dávku hanby a vystavenia verejnosti. Šváby nenávidia svetlo.

Toto prejde, ako to vždy robí bezpečnostné strach, ale ďalšie zasiahne jeho topánky. To je povaha zvieraťa. Zostaňte v bezpečí.