Intet spin, intet lort, bare klar simpel snak om, hvad der foregår denne gang
Nogle reelle snak om denne udnyttelse, som Bluebox-sikkerhedsteamet opdagede, er nødvendig. Den første ting at vide er, at du sandsynligvis er berørt. Det er en udnyttelse, der fungerer på alle enheder, der ikke er patched siden Android 1.6. Hvis du har rodfæstet og ROM'et din telefon, kan du frit ignorere alt dette. Intet af dette tæller for dig, fordi der er et helt andet sæt sikkerhedsproblemer, der kommer med rod- og brugerdefinerede ROM'er, som du skal bekymre dig om.
Hvis du ikke har markeret det berygtede tilladelsesfelt "Ukendte kilder" i dine indstillinger, betyder alt dette intet for dig. Fortsæt, og føl dig fri til at være lidt selvtilfredse og selvretfærdig - du fortjener det for at undvige sideloading hele denne tid, hvis noget lignende kunne ske. Hvis du ikke ved hvad det betyder, spørge nogen.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
For resten af os, læs forbi pausen.
Mere: IDG News Service.
Speciel tak til hele Android Central Ambassador-teamet for at hjælpe mig med at forstå dette!
Hvad er det?
Alle apps på din Android er signeret med en kryptografisk nøgle. Når det er tid til at opdatere den app, skal den nye version have den samme digitale signatur som den gamle, ellers overskrives den ikke. Du kan ikke opdatere det med andre ord. Der er ingen undtagelser, og udviklere, der mister deres underskriftsnøgle, skal oprette en helt ny app, som vi skal downloade igen. Det betyder at starte fra nul. Alle nye downloads, alle nye anmeldelser og ratings. Det er ikke et trivielt spørgsmål.
Systemapps - dem der blev installeret på din telefon fra HTC eller Samsung eller Google - har også en nøgle. Disse apps har ofte fuldstændig administratoradgang til alt på din telefon, fordi de er pålidelige apps fra producenten. Men de er stadig kun apps.
Fortsætter du stadig med mig?
Hvad vi taler om nu, hvad Bluebox taler om, er en metode til at rive en Android-app op og ændre koden uden at forstyrre den kryptografiske nøgle. Vi jubler, når hackere kommer rundt i låste bootloadere, og det er den samme slags udnyttelse. Når du låser noget, finder andre en vej ind, hvis de prøver hårdt nok. Og når din platform er den mest populære på planeten, prøver folk meget hårdt.
Så nogen kan tage en systemapplikation fra en telefon. Træk det lige ud. Ved hjælp af denne udnyttelse kan de redigere det for at gøre grimme ting - give det et nyt versionsnummer og pakke det sammen igen, mens de beholder den samme gyldige signaturnøgle. Derefter kan du muligvis installere denne app lige over din eksisterende kopi, og du har nu en app designet til at gøre dårlige ting, og den har fuld adgang til hele dit system. Hele tiden vil appen se ud og opføre sig normalt - du ved aldrig, at der er noget fishy.
Yikes.
Hvad gøres der ved det?
Folkene på Bluebox fortalte hele Open Handset Alliance om dette tilbage i februar. Google og OEM'er er ansvarlige for at lappe ting for at forhindre det. Samsung gjorde sin del med Galaxy S4, men enhver anden telefon, de sælger, er sårbar. HTC og One kom ikke ud, så alle HTCs telefoner er sårbare. Faktisk er hver telefon undtagen Samsung Touchwiz-versionen Galaxy S4 sårbar.
Google har endnu ikke opdateret Android til at rette dette problem. Jeg forestiller mig, at de arbejder hårdt på det - se de problemer, Chainfire har gennemgået rooting af Android 4.3. Men Google sad heller ikke ledigt og ignorerede det heller ikke. Google Play-butikken er "patched", så ingen manipulerede apps kan uploades til Googles servere. Det betyder, at enhver app, du downloader fra Google Play, er ren - i det mindste når det gælder denne særlige udnyttelse. Men steder som Amazon, Slide Me og selvfølgelig alle de revnede APK-fora derude er åbne, og enhver applikation kan have dårlig JuJu inde i den.
Så dette er virkelig en big deal?
Ja, det er en enorm aftale. Og på samme tid, nej, det er det virkelig ikke.
Google laver den måde, hvorpå Android opdaterer apps eller den måde, de er signeret på. I dette kat-og-mus-spil er dette en normal begivenhed. Google frigiver software, hackere (både den gode og den dårlige slags) forsøger at udnytte den, og når de gør det, ændrer Google koden. Sådan fungerer software, og denne slags ting bør forventes, når du har nok smarte mennesker, der prøver at bryde ind.
På den anden side kan den telefon, du har nu, muligvis ikke nogensinde se en opdatering til at løse dette. Helvede, det tog Samsung næsten et år at lappe browseren mod en udnyttelse, der kunne slette alle dine brugerdata på bare nogle af sine telefoner. Hvis du har en telefon, som du forventer at blive opdateret til Android 4.3, bliver du sandsynligvis patched. Hvis ikke, er det nogen, der gætter. Det er dårligt - meget dårligt. Jeg prøver ikke at slagge på de mennesker, der fremstiller vores telefoner, men sandheden er sandheden.
Hvad kan jeg gøre?
- Download ikke nogen apps uden for Google Play.
- Download ikke nogen apps uden for Google Play.
- Download ikke nogen apps uden for Google Play.
- Faktisk skal du fortsætte og deaktivere tilladelsen Ukendte kilder, hvis du vil. Jeg gjorde. Alt andet efterlader dig sårbar. Nogle "Anti-Virus" apps kontrollerer, om du har ukendte kilder aktiveret, hvis du ikke er sikker. Gå ind i foraerne, og find ud af, hvilken en alle siger, er den bedste, hvis du har brug for det.
- Udtryk din utilfredshed med ikke at få vigtige sikkerhedsopdateringer til din telefon. Især hvis du stadig har den toårige (eller treårige - hej Canada!) -Kontrakt.
- Root din telefon, og installer en ROM, der har en slags løsning - de populære vil sandsynligvis have meget snart.
Så tag ikke panik. Men vær proaktiv og brug en sund fornuft. Det er virkelig et godt tidspunkt at stoppe installationen af krakket apps, fordi de mennesker, der krakker, er den samme slags mennesker, der kunne sætte ond kode i appen. Hvis du får opdateringsmeddelelser, der kommer fra et andet sted end Google Play, skal du fortælle det til nogen. Fortælle os hvis du har brug for det. Find ud af de mennesker, der prøver at videregive disse bedrifter og give dem en tung dosis offentlig skam og eksponering. Kakerlakker hader lyset.
Dette vil passere som sikkerhedsskræmmer altid gør, men en anden vil træde ind for at fylde sine sko. Det er dyrets natur. Bliv sikre fyre.
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse øretelefoner, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Beskyt dit hjem med disse SmartThings dørklokker og låse.
En af de bedste ting ved SmartThings er, at du kan bruge en række andre tredjepartsenheder på dit system, dørklokker og låse inkluderet. Da de alle i det væsentlige deler den samme SmartThings-support, har vi fokuseret på, hvilke enheder der har de bedste specifikationer og tricks til at retfærdiggøre at tilføje dem til dit SmartThings-arsenal.