Ei pyörimistä, ei paskaa, vain selkeä yksinkertainen puhe siitä, mitä tällä kertaa tapahtuu
Joitakin todellisia puheita tästä hyödyntämisestä, jonka Bluebox-tietoturvaryhmä löysi. Ensimmäinen asia on tietää, että olet todennäköisesti vaikuttanut sinuun. Se on hyödyntäminen, joka toimii kaikilla laitteilla, joita ei ole korjattu Android 1.6: n jälkeen. Jos olet juurtanut puhelimesi ja ROM-levyn, voit ohittaa kaiken tämän. Mikään näistä ei ole sinulle tärkeä asia, koska juuri- ja mukautettujen ROM-levyjen mukana on täysin erilainen turvallisuusongelma, josta voit huolehtia.
Jos asetuksissasi ei ole valintaa pahamaineisesta Tuntemattomat lähteet -valintaruudusta, tämä kaikki ei merkitse sinulle mitään. Jatka ja voit olla hieman itsekäs ja itsekäs - ansaitset sen välttääksesi sivulataus koko tämän ajan, jos jotain tällaista voisi tapahtua. Jos et tiedä mitä tämä tarkoittaa, Kysy joltakulta.
Verizon tarjoaa Pixel 4a: n vain 10 dollaria kuukaudessa uusille rajoittamattomille linjoille
Lue meille kaikille muille tauko.
Lisää: IDG News Service.
Erityiset kiitokset koko Android Central Ambassador -tiimille, joka auttoi minua ymmärtämään tätä!
Mikä se on?
Kaikki Android-sovelluksesi on allekirjoitettu salausavaimella. Kun on aika päivittää sovellus, uudella versiolla on oltava sama digitaalinen allekirjoitus kuin vanhalla, tai se ei korvaa. Et voi päivittää sitä toisin sanoen. Ei ole poikkeuksia, ja kehittäjien, jotka menettävät allekirjoitusavaimensa, on luotava uusi sovellus, jonka meidän on ladattava uudestaan. Se tarkoittaa, että aloitetaan nollasta. Kaikki uudet lataukset, kaikki uudet arvostelut ja arvostelut. Se ei ole triviaali asia.
Järjestelmäsovelluksissa - niissä, jotka asennettiin puhelimeesi HTC: ltä, Samsungilta tai Googlelta - on myös avain. Näillä sovelluksilla on usein täydet järjestelmänvalvojan oikeudet kaikkeen puhelimeesi, koska ne ovat valmistajan luotettavia sovelluksia. Mutta ne ovat silti vain sovelluksia.
Seuraatko edelleen minua?
Se, mistä puhumme nyt, mistä Bluebox puhuu, on tapa repiä auki Android-sovellus ja vaihtaa koodi häiritsemättä salausavainta. Hurraamme, kun hakkerit kiertävät lukittuja käynnistyslataimia, ja tämä on samanlainen hyväksikäyttö. Kun lukitset jotain, muut löytävät tien, jos he yrittävät tarpeeksi kovasti. Ja kun foorumi on planeetan suosituin, ihmiset yrittävät kovasti.
Joten joku voi ottaa järjestelmäsovelluksen puhelimesta. Vedä se vain ulos. Tämän hyödyntämisen avulla he voivat muokata sitä tekemään ikäviä asioita - antaa sille uuden versionumeron ja pakata sen takaisin yhteen pitäen samalla voimassa olevan allekirjoitusavaimen. Voit sitten asentaa tämän sovelluksen suoraan olemassa olevan kopion päälle, ja sinulla on nyt sovellus, joka on suunniteltu tekemään pahoja asioita ja jolla on täydellinen pääsy koko järjestelmääsi. Koko ajan sovellus näyttää ja käyttäytyy normaalisti - et koskaan tiedä, että jotain hämmentävää tapahtuu.
Yikes.
Mitä siihen tehdään?
Blueboxin ihmiset kertoivat tästä koko Open Handset Alliancelle helmikuussa. Google ja OEM-valmistajat ovat vastuussa asioiden korjaamisesta sen estämiseksi. Samsung teki osansa Galaxy S4: n kanssa, mutta kaikki muut heidän myymänsä puhelimet ovat haavoittuvia. HTC ja One eivät tehneet leikkausta, joten kaikki HTC: n puhelimet ovat haavoittuvia. Itse asiassa kaikki puhelimet paitsi Samsung Touchwiz -versio Galaxy S4 ovat haavoittuvia.
Google ei ole vielä päivittänyt Androidia korjaamaan tätä ongelmaa. Luulen, että he työskentelevät kovasti sen kanssa - katso Chainfire on käynyt läpi Android 4.3: n juurtumisen. Mutta Google ei istunut kädessä ja jättänyt sitä huomiotta. Google Play -kauppa on "korjattu", joten mitään väärennettyjä sovelluksia ei voi ladata Googlen palvelimille. Tämä tarkoittaa, että kaikki Google Playsta lataamasi sovellukset ovat puhtaita - ainakin tämän erityisen hyödyntämisen osalta. Mutta paikat, kuten Amazon, Slide Me ja tietysti kaikki ne säröillä olevat APK-foorumit ovat auki ja jokaisessa sovelluksessa voi olla huono JuJu sen sisällä.
Joten tämä on todella iso juttu?
Kyllä, se on valtava kauppa. Ja samaan aikaan, ei, se ei todellakaan ole.
Google korjaa tapaa, jolla Android päivittää sovelluksia tai tapaa, jolla ne allekirjoitetaan. Tässä kissan ja hiiren pelissä tämä on normaalia. Google julkaisee ohjelmiston, hakkerit (sekä hyvät että huonot) yrittävät hyödyntää sitä, ja kun Google muuttaa koodia. Näin ohjelmisto toimii, ja tällaista pitäisi odottaa, kun sinulla on tarpeeksi älykkäitä ihmisiä, jotka yrittävät murtautua.
Toisaalta puhelimesi, jota sinulla on nyt, ei ehkä koskaan näe päivitystä tämän korjaamiseksi. Helvetti, Samsungilla kesti melkein vuosi korjata selain hyödyntämistä vastaan, joka voisi poistaa kaikki käyttäjätietosi vain jonkin verran sen puhelimista. Jos sinulla on puhelin, jonka odotat päivittyvän Android 4.3: een, saat todennäköisesti korjaustiedoston. Jos ei, se on kenenkään arvaus. Se on huono - erittäin huono. En yritä kuolla ihmisiä, jotka tekevät puhelimeemme, mutta totuus on totuus.
Mitä voin tehdä?
- Älä lataa sovelluksia Google Playn ulkopuolelta.
- Älä lataa sovelluksia Google Playn ulkopuolelta.
- Älä lataa sovelluksia Google Playn ulkopuolelta.
- Itse asiassa, jatka ja sammuta tuntemattomien lähteiden käyttöoikeus, jos haluat. Minä tein. Kaikki muu jättää sinut haavoittuvaksi. Jotkut virustorjuntaohjelmat tarkistavat, onko tuntemattomia lähteitä käytössä, jos et ole varma. Mene foorumeille ja selvitä, minkä kaikkien mielestä paras on, jos tarvitset.
- Ilmaise tyytymättömyytesi siitä, ettet saa välttämättömiä tietoturvapäivityksiä puhelimeesi. Varsinkin jos olet vielä kahden vuoden (tai kolmivuotisen - hei Kanada!) Sopimuksessa.
- Juurenna puhelimesi ja asenna ROM, jolla on jonkinlainen korjaus - suosituilla on todennäköisesti pian.
Joten älä paniikkia. Mutta ole ennakoiva ja käytä jotain järkeä. Nyt on todella hyvä aika lopettaa säröillä olevien sovellusten asentaminen, koska halkeilijat tekevät samanlaisia ihmisiä, jotka voivat laittaa pahan koodin sovellukseen. Jos saat päivitysilmoituksia, jotka tulevat muualta kuin Google Playsta, kerro siitä jollekulle. Kertoa meille jos sinun täytyy. Selvitä ihmiset, jotka yrittävät välittää näitä hyökkäyksiä ja antaa heille suuren annoksen julkista häpeää ja altistumista. Torakat vihaavat valoa.
Tämä kulkee kuten turvallisuuspelot aina, mutta toinen astuu sisään täyttämään kengät. Se on pedon luonne. Pysy turvassa kaverit.
Oletko kuunnellut tämän viikon Android Central Podcastia?
Joka viikko Android Central Podcast tuo sinulle viimeisimmät tekniset uutiset, analyysit ja pikaviestit tuttujen isäntien ja erikoisvieraiden kanssa.
- Tilaa Pocket Casts: Audio
- Tilaa Spotify: Audio
- Tilaa iTunesissa: Audio
Voimme ansaita palkkion ostoksistamme linkkien avulla. Lisätietoja.
Nämä ovat parhaat langattomat nappikuulokkeet, joita voit ostaa joka hintaan!
Parhaat langattomat nappikuulokkeet ovat mukavia, kuulostavat hyviltä, eivät maksa liikaa ja sopivat helposti taskuun.
Kaikki mitä sinun tarvitsee tietää PS5: stä: Julkaisupäivä, hinta ja paljon muuta.
Sony on virallisesti vahvistanut työskentelevänsä PlayStation 5: llä. Tässä on kaikki mitä tiedämme siitä toistaiseksi.
Nokia tuo markkinoille kaksi uutta edullista Android One -puhelinta, joiden hinta on alle 200 dollaria.
Nokia 2.4 ja Nokia 3.4 ovat viimeisimmät lisäykset HMD Globalin budjetin älypuhelinten kokoonpanoon. Koska ne ovat molemmat Android One -laitteita, heille taataan kaksi merkittävää käyttöjärjestelmän päivitystä ja säännölliset tietoturvapäivitykset jopa kolmen vuoden ajan.
Suojaa kotisi näillä SmartThings-ovikelloilla ja lukoilla.
Yksi SmartThingsin parhaista asioista on, että voit käyttää järjestelmässäsi joukkoa muita kolmannen osapuolen laitteita, mukaan lukien ovikellot ja lukot. Koska niillä kaikilla on olennaisilta osin sama SmartThings-tuki, olemme keskittyneet siihen, millä laitteilla on parhaat tekniset tiedot ja perusteet niiden lisäämiseksi SmartThings-arsenaaliin.