فهم أحدث ذعر أمان Android "Master Key"

لا تدور ، ولا هراء ، مجرد حديث بسيط واضح عما يحدث هذه المرة

هناك حاجة إلى بعض الحديث الحقيقي عن هذا الاستغلال الذي اكتشفه فريق أمان Bluebox. أول شيء يجب أن تعرفه هو أنه من المحتمل أن تتأثر. إنها ثغرة تعمل على كل جهاز لم يتم إصلاحه منذ Android 1.6. إذا قمت بعمل روت لهاتفك وقمت بعمل ROM عليه ، فيمكنك تجاهل كل هذا بحرية. لا شيء من هذا مهم بالنسبة لك ، لأن هناك مجموعة مختلفة تمامًا من المخاوف الأمنية التي تأتي مع ذاكرة القراءة فقط (ROM) الجذر والمخصصة لتقلق بشأنها.

إذا لم يكن لديك مربع إذن "مصادر غير معروفة" سيئ السمعة محددًا في إعداداتك ، فكل هذا لا يعني شيئًا لك. استمر ، ولا تتردد في أن تكون متعجرفًا ومصالحًا - فأنت تستحق ذلك من أجل تجنبه تحميل الجانب كل هذا الوقت في حالة حدوث شيء كهذا. إذا كنت لا تعرف ماذا يعني هذا ، اسال شخصا ما.

بالنسبة لبقيتنا ، اقرأ بعد الفاصل.

أكثر: خدمة أخبار IDG.

شكر خاص لفريق Android Central Ambassador لمساعدتي في فهم هذا الأمر!

ما هذا؟

يتم توقيع جميع التطبيقات على جهاز Android الخاص بك باستخدام مفتاح تشفير. عندما يحين وقت تحديث هذا التطبيق ، يجب أن يكون للإصدار الجديد نفس التوقيع الرقمي القديم وإلا فلن يتم استبداله. بعبارة أخرى ، لا يمكنك تحديثه. لا توجد استثناءات ، ويتعين على المطورين الذين فقدوا مفتاح التوقيع الخاص بهم إنشاء تطبيق جديد تمامًا يتعين علينا تنزيله مرة أخرى. هذا يعني البدء من الصفر. كل التنزيلات الجديدة ، كل المراجعات والتقييمات الجديدة. إنها ليست مسألة تافهة.

تطبيقات النظام - تلك التي تم تثبيتها على هاتفك من HTC أو Samsung أو Google - لها أيضًا مفتاح. غالبًا ما تتمتع هذه التطبيقات بوصول كامل للمسؤول إلى كل شيء على هاتفك ، لأنها تطبيقات موثوقة من الشركة المصنعة. لكنها لا تزال مجرد تطبيقات.

هل ما زلت تتبعني؟

ما نتحدث عنه الآن ، ما يتحدث عنه Bluebox ، هو طريقة لفتح تطبيق Android وتغيير الرمز دون إزعاج مفتاح التشفير. نحن نشجع عندما يتجول المتسللون حول برامج تحميل الإقلاع المغلقة ، وهذا هو نفس النوع من الاستغلال. عندما تقفل شيئًا ما ، سيجد الآخرون طريقة للدخول إذا حاولوا بجد بما فيه الكفاية. وعندما تكون منصتك هي الأكثر شعبية على هذا الكوكب ، يبذل الناس قصارى جهدهم.

لذلك ، يمكن لأي شخص أخذ تطبيق النظام من الهاتف. فقط اسحبه للخارج. باستخدام هذا الاستغلال ، يمكنهم تحريره للقيام بأشياء سيئة - إعطائه رقم إصدار جديد ، وإعادة تجميعه معًا مع الاحتفاظ بمفتاح التوقيع الصالح نفسه. يمكنك بعد ذلك تثبيت هذا التطبيق مباشرة فوق نسختك الحالية ، ولديك الآن تطبيق مصمم للقيام بأشياء سيئة ولديه وصول كامل إلى نظامك بالكامل. طوال الوقت ، سيظهر التطبيق ويتصرف بشكل طبيعي - لن تعرف أبدًا أن شيئًا مريبًا يحدث.

ييكيس.

ما الذي يتم فعله حيال ذلك؟

أخبر الأشخاص في Bluebox تحالف Open Handset Alliance بالكامل عن هذا الأمر في فبراير. تتحمل Google و OEMs مسؤولية تصحيح الأشياء لمنعها. قامت Samsung بدورها مع Galaxy S4 ، لكن كل هاتف آخر تبيعه معرض للخطر. لم يجرِ HTC and the One التخفيض ، لذا فإن جميع هواتف HTC معرضة للخطر. في الواقع ، كل هاتف باستثناء إصدار Samsung Touchwiz Galaxy S4 ضعيف.

لم تُحدِّث Google نظام Android حتى الآن لإصلاح هذه المشكلة. أتخيل أنهم يعملون بجد على ذلك - اطلع على المشكلات التي مرت بها Chainfire في تأصيل Android 4.3. لكن Google لم تقف مكتوفة الأيدي وتتجاهلها أيضًا. تم "تصحيح" متجر Google Play بحيث لا يمكن تحميل أي تطبيقات تم العبث بها على خوادم Google. هذا يعني أن أي تطبيق تقوم بتنزيله من Google Play نظيف - على الأقل فيما يتعلق بهذا الاستغلال المحدد. لكن أماكن مثل Amazon و Slide Me وبالطبع جميع منتديات APK التي تم تصدعها مفتوحة على مصراعيها ويمكن أن يحتوي كل تطبيق على JuJu السيئ بداخله.

إذن هذه صفقة كبيرة حقا؟

نعم ، إنها صفقة ضخمة. وفي الوقت نفسه ، لا ، ليس كذلك حقًا.

ستعمل Google على تصحيح طريقة تحديث Android للتطبيقات أو طريقة توقيعها. في لعبة القط والفأر هذه ، هذا أمر طبيعي. تقوم Google بإصدار برامج ، يحاول المتسللون (سواء من النوع الجيد أو السيئ) استغلالها ، وعندما يفعلون ذلك ، تقوم Google بتغيير الشفرة. هذه هي الطريقة التي يعمل بها البرنامج ، وهذا النوع من الأشياء يجب توقعه عندما يكون لديك عدد كافٍ من الأشخاص الأذكياء الذين يحاولون الاقتحام.

من ناحية أخرى ، قد لا يرى الهاتف الذي لديك الآن تحديثًا لإصلاح ذلك. الجحيم ، لقد استغرق الأمر من Samsung ما يقرب من عام لإصلاح المتصفح ضد استغلال يمكن أن يمحو جميع بيانات المستخدم الخاصة بك فقط بعض من هواتفها. إذا كان لديك هاتف تتوقع أن يتم تحديثه إلى Android 4.3 ، فمن المحتمل أن يتم تصحيحه. إذا لم يكن كذلك ، فمن تخمين أي شخص. هذا سيء - سيء جدا. أنا لا أحاول الخداع على الأشخاص الذين يصنعون هواتفنا ، لكن الحقيقة هي الحقيقة.

ماذا يمكنني أن أفعل؟

• لا تقم بتنزيل أي تطبيقات خارج Google Play.
• لا تقم بتنزيل أي تطبيقات خارج Google Play.
• لا تقم بتنزيل أي تطبيقات خارج Google Play.
• في الواقع ، امض قدمًا وأوقف تشغيل إذن المصادر غير المعروفة إذا أردت. فعلت. أي شيء آخر يتركك عرضة للخطر. ستتحقق بعض تطبيقات "مكافحة الفيروسات" من تمكين المصادر غير المعروفة إذا لم تكن متأكدًا. ادخل إلى المنتديات واكتشف المنتدى الذي يقول الجميع أنه الأفضل إذا كنت بحاجة إلى ذلك.
• عبر عن استيائك لعدم تلقي تحديثات الأمان الأساسية لهاتفك. خاصة إذا كنت لا تزال ملتزمًا بعقد لمدة عامين (أو ثلاثة أعوام - مرحبًا كندا!).
• قم بجذر هاتفك ، وقم بتثبيت ROM به نوع من الإصلاح - من المحتمل أن يتم تشغيل الإصدارات الشائعة قريبًا جدًا.

لذلك لا داعي للذعر. لكن كن استباقيًا واستخدم بعض الحس السليم. الآن هو الوقت المناسب حقًا للتوقف عن تثبيت التطبيقات المتصدعة ، لأن الأشخاص الذين يقومون بالتكسير هم نفس النوع من الأشخاص الذين يمكنهم وضع تعليمات برمجية شريرة في التطبيق. إذا تلقيت أي إشعارات بالتحديث من مكان آخر غير Google Play ، فأخبر أحدًا. يخبار نحن إذا كنت بحاجة إلى. اكتشف الأشخاص الذين يحاولون تمرير هذه المآثر ومنحهم جرعة كبيرة من العار والتعرية. الصراصير تكره الضوء.

سوف يمر هذا كما يحدث دائمًا ، ولكن سيتدخل شخص آخر لملء أحذيته. هذه هي طبيعة الوحش. ابقوا بأمان يا رفاق.