Pas de spin, pas de conneries, juste une discussion simple et claire sur ce qui se passe cette fois
Un vrai discours sur cet exploit que l'équipe de sécurité Bluebox a découvert est nécessaire. La première chose à savoir est que vous êtes probablement affecté. C'est un exploit qui fonctionne sur tous les appareils qui n'ont pas été corrigés depuis Android 1.6. Si vous avez rooté et ROM de votre téléphone, vous pouvez ignorer tout cela librement. Rien de tout cela ne compte pour vous, car il y a un tout autre ensemble de problèmes de sécurité associés aux ROM racine et personnalisées dont vous devez vous soucier.
Si vous n'avez pas coché la tristement célèbre case d'autorisation "Sources inconnues" dans vos paramètres, tout cela ne vous dit rien. Continuez et sentez-vous libre d'être un peu suffisant et pharisaïque - vous le méritez pour éviter Chargement latéral tout ce temps au cas où quelque chose comme ça pourrait arriver. Si vous ne savez pas ce que cela signifie, demande à quelqu'un.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Pour le reste d'entre nous, lisez après la pause.
Plus: Service de presse IDG.
Un merci spécial à toute l'équipe d'Android Central Ambassador pour m'avoir aidé à comprendre cela!
Qu'Est-ce que c'est?
Toutes les applications sur votre Android sont signées avec une clé cryptographique. Lorsqu'il est temps de mettre à jour cette application, la nouvelle version doit avoir la même signature numérique que l'ancienne, sinon elle ne sera pas écrasée. Vous ne pouvez pas le mettre à jour, en d'autres termes. Il n'y a pas d'exceptions et les développeurs qui perdent leur clé de signature doivent créer une toute nouvelle application que nous devons télécharger à nouveau. Cela signifie partir de zéro. Tous les nouveaux téléchargements, toutes les nouvelles critiques et évaluations. Ce n'est pas une question triviale.
Les applications système - celles qui ont été installées sur votre téléphone depuis HTC, Samsung ou Google - ont également une clé. Ces applications ont souvent un accès administrateur complet à tout sur votre téléphone, car ce sont des applications de confiance du fabricant. Mais ce ne sont toujours que des applications.
Vous me suivez toujours?
Ce dont nous parlons maintenant, ce dont Bluebox parle, est une méthode pour déchirer une application Android et changer le code sans déranger la clé cryptographique. Nous applaudissons quand les pirates contournent des bootloaders verrouillés, et c'est le même genre d'exploit. Lorsque vous verrouillez quelque chose, les autres trouveront un moyen s'ils essaient assez fort. Et lorsque votre plateforme est la plus populaire de la planète, les gens font de leur mieux.
Ainsi, quelqu'un peut prendre une application système à partir d'un téléphone. Sortez-le simplement. En utilisant cet exploit, ils peuvent le modifier pour faire des choses désagréables - lui donner un nouveau numéro de version, et le regrouper tout en gardant la même clé de signature valide. Vous pourriez alors potentiellement installer cette application juste au-dessus de votre copie existante, et vous avez maintenant une application conçue pour faire de mauvaises choses et elle a un accès complet à l'ensemble de votre système. Pendant tout ce temps, l'application aura une apparence et un comportement normaux - vous ne saurez jamais que quelque chose de louche se passe.
Yikes.
Que fait-on à ce sujet?
Les gens de Bluebox en ont parlé à toute l'Open Handset Alliance en février. Google et les OEM sont responsables de la correction des choses pour l'empêcher. Samsung a fait sa part avec le Galaxy S4, mais tous les autres téléphones qu'ils vendent sont vulnérables. HTC et le One n’ont pas fait la coupe, donc tous les téléphones de HTC sont vulnérables. En fait, tous les téléphones à l'exception de la version Samsung Touchwiz Galaxy S4 sont vulnérables.
Google n'a pas encore mis à jour Android pour corriger ce problème. J'imagine qu'ils travaillent dur dessus - voyez les problèmes que Chainfire a rencontrés lors de l'enracinement d'Android 4.3. Mais Google n'est pas resté les bras croisés et l'ignorer non plus. Le Google Play Store a été «corrigé» afin qu'aucune application falsifiée ne puisse être téléversée sur les serveurs de Google. Cela signifie que toute application que vous téléchargez depuis Google Play est propre - du moins en ce qui concerne cet exploit particulier. Mais des endroits comme Amazon, Slide Me et bien sûr tous ces forums APK fissurés sont largement ouverts et chaque application pourrait contenir un mauvais JuJu.
Alors c'est vraiment un gros problème?
Oui, c’est un gros problème. Et en même temps, non, ce n’est vraiment pas le cas.
Google corrigera la façon dont Android met à jour les applications ou la façon dont elles sont signées. Dans ce jeu du chat et de la souris, c'est une occurrence normale. Google publie des logiciels, les pirates (les bons comme les mauvais) essaient de les exploiter, et lorsqu'ils le font, Google modifie le code. C’est ainsi que fonctionne le logiciel, et ce genre de chose doit être attendu lorsque suffisamment de personnes intelligentes essaient de s'introduire.
D'un autre côté, le téléphone que vous possédez actuellement ne verra peut-être jamais aucune mise à jour pour résoudre ce problème. Bon sang, il a fallu près d'un an à Samsung pour patcher le navigateur contre un exploit qui pourrait effacer toutes vos données utilisateur sur juste certains de ses téléphones. Si vous avez un téléphone que vous prévoyez d'être mis à jour vers Android 4.3, vous obtiendrez probablement des correctifs. Sinon, tout le monde peut le deviner. C'est mauvais - très mauvais. Je n'essaie pas de salir les gens qui fabriquent nos téléphones, mais la vérité est la vérité.
Que puis-je faire?
- Ne téléchargez aucune application en dehors de Google Play.
- Ne téléchargez aucune application en dehors de Google Play.
- Ne téléchargez aucune application en dehors de Google Play.
- En fait, désactivez l'autorisation Sources inconnues si vous le souhaitez. J'ai fait. Tout le reste vous rend vulnérable. Certaines applications «antivirus» vérifieront si des sources inconnues sont activées si vous n’êtes pas sûr. Entrez dans les forums et découvrez lequel, selon tout le monde, est le meilleur si vous en avez besoin.
- Exprimez votre mécontentement de ne pas obtenir les mises à jour de sécurité essentielles pour votre téléphone. Surtout si vous êtes toujours sur ce contrat de deux ans (ou trois ans - bonjour Canada!).
- Enracinez votre téléphone et installez une ROM contenant une sorte de correctif - les plus populaires le seront probablement très bientôt.
Alors ne paniquez pas. Mais soyez proactif et faites preuve de bon sens. Le moment est venu d'arrêter d'installer des applications fissurées, car les personnes qui effectuent le craquage sont le même genre de personnes qui pourraient mettre du code malveillant dans l'application. Si vous recevez des notifications de mise à jour provenant d'un endroit autre que Google Play, dites-le à quelqu'un. Dire nous Si tu as besoin de. Identifiez les personnes qui essaient de transmettre ces exploits et donnez-leur une forte dose de honte publique et d'exposition. Les cafards détestent la lumière.
Cela passera comme les alertes de sécurité le font toujours, mais un autre interviendra pour se mettre à la place. C’est la nature de la bête. Restez en sécurité les gars.
Avez-vous écouté le podcast Android Central de cette semaine?
Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, des analyses et des prises de vue, avec des co-hôtes familiers et des invités spéciaux.
- Abonnez-vous à Pocket Casts: l'audio
- Abonnez-vous à Spotify: l'audio
- Abonnez-vous à iTunes: l'audio
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Sécurisez votre maison avec ces sonnettes et serrures SmartThings.
L'une des meilleures choses à propos de SmartThings est que vous pouvez utiliser une multitude d'autres appareils tiers sur votre système, sonnettes et serrures incluses. Comme ils partagent tous essentiellement le même support SmartThings, nous nous sommes concentrés sur les appareils dotés des meilleures spécifications et astuces pour justifier leur ajout à votre arsenal SmartThings.