Ei mingit pöörlemist, mitte jama, vaid lihtsalt selge jutt sellest, mis seekord toimub
Mõni tõeline jutt sellest ekspluateerimisest, mille Blueboxi turvameeskond avastas, on vajalik. Kõigepealt peaksite teadma, et olete tõenäoliselt mõjutatud. See on ekspluateerimine, mis töötab igas seadmes, mida pole pärast Android 1.6 parandatud. Kui olete oma telefoni juurinud ja ROM-i muutnud, võite seda kõike vabalt ignoreerida. Ükski sellest ei loe teie jaoks, sest juur- ja kohandatud ROM-idega kaasnevad täiesti erinevad turvamured.
Kui teil pole seadetes kurikuulus loa ruut „Tundmatud allikad” märkimata, ei tähenda see teile midagi. Jätkake ja olge julged olla pisut salakavalad ja ennast õigustavad - te väärite seda eiramise eest kõrvallaadimine kogu selle aja, kui midagi sellist juhtuda võib. Kui te ei tea, mida see tähendab, küsige kelleltki.
Verizon pakub Pixel 4a uutele piiramatutele liinidele vaid 10 dollarit kuus
Meie kõigi jaoks lugege vaheajast üle.
Veel: IDG uudisteteenistus.
Eriline tänu kogu Androidi kesksaadiku meeskonnale, kes aitas mul seda mõtestada!
Mis see on?
Kõik teie Androidi rakendused on allkirjastatud krüptovõtmega. Kui on aeg seda rakendust värskendada, peab uuel versioonil olema sama digitaalallkiri kui vanal, vastasel juhul ei kirjutata seda üle. Teisisõnu ei saa seda värskendada. Erandeid pole ja arendajad, kes kaotavad allkirjastamisvõtme, peavad looma uhiuue rakenduse, mille peame uuesti alla laadima. See tähendab, et alustatakse nullist. Kõik uued allalaadimised, kõik uued arvustused ja hinnangud. See pole tühine asi.
Süsteemirakendustel - need, mis installiti teie telefoni HTC, Samsungi või Google'i kaudu - on ka võti. Nendel rakendustel on sageli täielik administraatori juurdepääs kõigele teie telefonis olevale seadmele, kuna need on tootja usaldusväärsed rakendused. Kuid need on ikkagi lihtsalt rakendused.
Ikka jälgin mind?
See, millest me praegu räägime, millest Bluebox räägib, on meetod Androidi rakenduse avamiseks ja koodi muutmiseks krüptograafilist võtit häirimata. Me rõõmustame, kui häkkerid lähevad lukustatud alglaaduritest mööda ja see on samasugune ärakasutamine. Kui lukustate midagi, leiavad teised sissepääsu, kui nad piisavalt pingutavad. Ja kui teie platvorm on planeedil kõige populaarsem, proovivad inimesed väga palju.
Nii saab keegi telefonist süsteemirakenduse võtta. Lihtsalt tõmmake see otse välja. Selle ärakasutamise abil saavad nad seda redigeerida, et teha vastikuid asju - anda talle uus versiooninumber ja pakkida see kokku, säilitades samas kehtiva allkirjastamisvõtme. Seejärel võiksite selle rakenduse installida olemasoleva eksemplari paremale kohale ja teil on nüüd rakendus, mis on mõeldud halbade asjade tegemiseks, ja sellel on täielik juurdepääs kogu teie süsteemile. Kogu aeg näeb rakendus välja ja käitub normaalselt - te ei saa kunagi teada, et midagi kahtlast toimub.
Jah.
Mida sellega tehakse?
Blueboxi inimesed rääkisid sellest veebruarist kogu Open Handset Alliance'ile. Google ja originaalseadmete tootjad vastutavad selle ärahoidmiseks asjade lappimise eest. Samsung tegi oma osa Galaxy S4-ga, kuid kõik teised nende müüdavad telefonid on haavatavad. HTC ja One ei teinud kärpimist, seega on kõik HTC telefonid haavatavad. Tegelikult on kõik telefonid, välja arvatud Samsung Touchwizi versioon Galaxy S4, haavatavad.
Google pole Androidi selle probleemi parandamiseks veel värskendanud. Kujutan ette, et nad töötavad selle nimel kõvasti - vaadake teemasid, mida Chainfire on läbinud Android 4.3 juurimise. Kuid Google ei istunud käed rüpes ja ignoreeris seda ka. Google Play pood on lappitud, nii et ühtegi rikkunud rakendust ei saaks Google'i serveritesse üles laadida. See tähendab, et iga Google Playst alla laaditud rakendus on puhas - vähemalt selle konkreetse ärakasutamise puhul. Kuid sellised kohad nagu Amazon, Slide Me ja loomulikult on kõik need APK foorumid, mis seal on lõhki löödud, avatud ja igas rakenduses võib olla halb JuJu.
Nii et see on tõesti suur asi?
Jah, see on tohutu tehing. Ja samal ajal ei, see pole tegelikult nii.
Google lappib viisi, kuidas Android rakendusi värskendab või kuidas neile alla kirjutatakse. Selles kassi-hiire mängus on see tavaline nähtus. Google vabastab tarkvara, häkkerid (nii head kui halvad) üritavad seda ära kasutada ja kui nad seda teevad, muudab Google koodi. Nii tarkvara töötab ja sellist asja tuleks oodata, kui teil on piisavalt nutikaid inimesi, kes üritavad sisse murda.
Teisest küljest ei pruugi teie praegune telefon selle parandamiseks kunagi värskendust näha. Pagan, Samsungil kulus peaaegu aasta, et brauser lappida sellise ekspluateerimise vastu, mis võib kõik teie kasutajaandmed lihtsalt kustutada mõned oma telefonidest. Kui teil on telefon, mille eeldatavasti värskendatakse operatsioonisüsteemile Android 4.3, saate tõenäoliselt plaastri. Kui ei, siis on see arvatav keegi. See on halb - väga halb. Ma ei püüa räbustada inimesi, kes meie telefoni teevad, kuid tõde on tõde.
Mida ma teha saan?
- Ärge laadige alla rakendusi väljaspool Google Playd.
- Ärge laadige alla rakendusi väljaspool Google Play.
- Ärge laadige alla rakendusi väljaspool Google Playd.
- Tegelikult jätkake ja lülitage tundmatute allikate luba välja, kui soovite. Ma tegin. Kõik muu jätab teid haavatavaks. Mõni viirusetõrjerakendus kontrollib, kas teil pole teadaolevaid allikaid lubatud, kui te pole selles kindel. Sisenege foorumitesse ja saate teada, milline neist on kõigi arvates parim, kui vaja.
- Väljendage oma pahameelt selle pärast, et te ei saanud telefoni jaoks olulisi turvavärskendusi. Eriti kui teil on endiselt see kaheaastane (või kolmeaastane - tere Kanada!) Leping.
- Juurige oma telefon sisse ja installige ROM, millel on mingisugune parandus - populaarsed on tõenäoliselt varsti sisse lülitatud.
Nii et ärge paanitsege. Kuid ole ennetav ja kasuta mõnda tervet mõistust. Nüüd on tõesti hea aeg lõhenenud rakenduste installimine lõpetada, sest kräkkimisega tegelevad inimesed on samamoodi inimesed, kes võiksid rakendusse sisestada kurja koodi. Kui saate värskendusteateid, mis pärinevad muust kohast kui Google Play, rääkige sellest kellelegi. Ütle meile kui vaja. Selgitage välja inimesed, kes üritavad neid ekspluateerimisi edasi anda, ja pakuvad neile suurt annust avalikku häbi ja kokkupuudet. Prussakad vihkavad valgust.
See möödub nagu turvalisuse hirmutamine alati, kuid teine astub oma kingade täitmiseks. See on metsalise olemus. Olge turvatud poisid.
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate osta iga hinnaga!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja mahuvad kergesti taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mille hind on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Kinnitage oma kodu nende SmartThingsi uksekellade ja lukkude abil.
Üks parimatest asjadest SmartThingsis on see, et saate oma süsteemis kasutada hulgaliselt muid kolmanda osapoole seadmeid, kaasa arvatud uksekellad ja lukud. Kuna neil kõigil on sisuliselt sama SmartThingsi tugi, oleme keskendunud sellele, millistel seadmetel on parimad tehnilised andmed ja nipid, et õigustada nende lisamist teie SmartThingsi arsenali.