Škodlivé súbory sa opäť dostali do služby Android Market. Súpravy aplikácií boli unesené, spätne upravené pomocou škodlivého kódu a zverejnené spolu s legitímnymi aplikáciami.
Dve veci je potrebné spomenúť vopred - Google už odstránil aplikácie z trhu a tentokrát ovplyvnili iba používateľov v Číne, z ktorých tiež pochádzajú. Ak čítate tento príbeh, ste pravdepodobne v bezpečí a nikdy ste v ohrození. Je to však stále veľký problém. Skupina zločincov (to je moja bezpečná verzia) dokázala dekompilovať aplikácie od legitímneho vývojára, vložiť nejaký kód, ktorý odošle SMS správy čínskej predplatiteľskej službe, a potom podnikla niekoľko skutočne dômyselných krokov, aby udržala všetko skryté pred používateľom. To sa stane, pretože cieľom je všetko, čo je dostatočne elektronické a populárne. Táto časť sa týka toho, že sa dostávajú na Android Market.
Dovoľte mi, aby som o tom mal po prestávke pár stoviek slov.
Zdroj: AegisLabs cez Sophos; Vďaka, Tony Bag o 'Šišky!
Som roztrhaný. Ako používateľ a na osobnej úrovni hovorím, že nechávam všetko otvorené a nútim používateľov, aby boli usilovní a inštalovali iba aplikácie, ktorým dôverujú, bez ohľadu na to, odkiaľ pochádzajú. Zistite, aké sú povolenia a prečo ich aplikácia môže alebo nemusí (napr. Adobe Reader). Ale ako blogger a (dúfajme) rešpektovaný orgán Android, mám zodpovednosť za to, aby naši čitatelia chceli, čo je pre nich najlepšie. To ste vy. Mnohí z vás sú rešpektovaní autority Androidu podľa svojich vlastných práv a nemajú problém rozlíšiť, čo je bezpečné a čo nie. Mnoho ďalších nie je a závisí od systému Android Central a ďalších zdrojov internetu, aby vám ponúkli dobré rady o tom, ako zostať v bezpečí. Toto ma zanecháva v kúpeľa.
Pri čítaní rôznych bezpečnostných publikácií o tomto som narazil na skutočne zaujímavý nápad od Vanja Svajcer v Sophose. Jeho nápad je jednoduchý a ľahko implementovateľný - potrebujeme dve sady podpisovacích kľúčov. Aplikácie, ktoré chcú alebo potrebujú robiť veci, ako napríklad posielanie SMS správ alebo si pohrávať so svojím zoznamom kontaktov, by mali používať sadu overených kľúčov priradených k legitímnemu účtu vývojára, ktorý bol schválený spoločnosťou Google. Nechajte prdové aplikácie a motívy naďalej používať kľúčmi generovanými používateľmi - nenúťte vývojárov hobby preskočiť akékoľvek obruče pre ľudí v Mountain View, ak nebudú robiť nič, čo by mohlo spôsobiť potenciálny bezpečnostný problém. Ale v okamihu, keď chce aplikácia získať prístup do telefónneho zoznamu alebo použiť svoj GMail authToken, skontrolujte podpisovací kľúč a overte ho. Udržujte používateľov v bezpečí a zostanú spokojní. Šťastní používatelia kupujú viac aplikácií a ďalšie produkty Android. Raketová veda to nie je. Vanja zasiahla tento klin priamo do hlavy - čo hovoríte vy, Google?
Anyhoo, toto je koniec a hotovo. Ak ste zvedaví, tu je zoznam postihnutých aplikácií. Nezabúdajte, že všetci boli okamžite odstránení z trhu a ovplyvnili iba používateľov s čínskym jazykom a telefónnym číslom.
- iBook
- iCartoon
- Zlatíčko
- Hrozné 3D kocky
- Morská lopta
- iCalendar
- iMatch
- Pretrepať
- ShakeBanger
- Imin
- iGuide
Dozvieme sa o veciach a dáme vám vedieť, až sa to stane nabudúce. A bude nabudúce - kompromis, že budú môcť mať aplikácie typu kick-ass, ako je Handcent, má aplikácie, ktoré používajú rovnaké funkcie a otvorenosť pre veci, ktoré by radšej nemali. Teraz budem musieť navrhnúť dve veci:
- Použite "vírusový" skener. Áno, viem, že pre Android neexistujú žiadne vírusy, ale názvy sa zasekávajú. Všetky doterajšie problémy so zabezpečením vyžadujú, aby ich koncový používateľ chcel nainštalovať. Ak sa s telefónom nebudete ničom nakaziť. Existuje niekoľko na trhu na výber. Všetci pracujú, takže skontrolujte vlastnosti každého z nich a vyberte si. Potom sa tešíme, že ich máme urobiť, aby pre nás urobili špinavú prácu.
- Neinštalujte žiadne aplikácie, ktoré by nemali byť. Áno, je to lákavé a pomocou zariadenia Sideload Wonder Machine sme to pomerne ľahko zjednodušili (to však nebol môj zámer!). Bezpečnostní blogeri nielen fajčia, keď vás na to varujú. Ak ste schopní, narazte na jedno z týchto fór pirátskych aplikácií a stiahnite si hrsť, potom ich obráťte a porovnajte s oficiálnymi verziami. Ak nie ste schopní, verte nám. Asi polovica z nich má v kóde nejaké vážne rozdiely. Držte sa aplikácií, ktorým dôverujete. Alebo sa držte trhu - ak uviaznete v trójskom koni, spoločnosť Google vás opraví. Vývojári si nielenže zaslúžia pár babiek, ktoré žiadajú o tvrdú prácu, ale nakoniec budete v bezpečí.
