Još jednom je Sezona sigurnosnih strahova za Android. Jutros je objavljena vijest o najnovijoj kolekciji ranjivosti, koju je otkrila zaštitarska tvrtka Check Point i grupirala pod dopadljivim nadimkom "QuadRooter". Kao i obično, većina izvještaja usredotočila se na najgore moguće slučajeve i šokantno velik broj potencijalno ranjivih uređaja - u ovom slučaju, procjenjuje se 900 milijuna
Slomit ćemo točno što se događa i koliko ćete vjerojatno biti ranjivi. Nastavi čitati.
1. To je stvar Qualcomma
Check Point je posebno ciljao Qualcomm zbog svog dominantnog položaja u Android ekosustavu. Budući da toliko puno Android telefona koristi Qualcomm hardver, upravljački programi Qualcomma pridonose softveru na njima telefoni čine privlačnu metu - jedan skup ranjivosti koji utječu na velik dio Androida baza korisnika. (Točnije, bugovi utječu na umrežavanje, grafiku i kod za dodjelu memorije.)
Sva četiri iskorištavanja koja čine QuadRooter utječu na Qualcommove upravljačke programe, pa ako imate telefon koji ne koristi Qualcommov hardver na sve - na primjer, Galaxy S6 ili Note 5 (koji koristi Samsungov vlastiti Exynos procesor i Shannon modem), na vas to ne utječe ovaj.
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
2. Ozbiljno je, ali nema dokaza da se koristi u divljini
Kao što i samo ime govori, QuadRoot je zbirka od četiri eksploatacije u Qualcommovom kodu koja zlonamjernoj aplikaciji može omogućiti stjecanje root privilegija - tj. Pristup u osnovi radi bilo čega na vašem telefonu. Odatle možete izmisliti bilo koji broj scenarija noćne more: napadači koji slušaju na telefonu pozive, špijuniranje kroz kameru, pljačka financijskih detalja ili zaključavanje podataka pomoću ransomware.
Još nitko ne govori o tim podvizima koji se koriste u divljini, što je dobro. (Check Point procjenjuje da će ga negativci upakirati u funkcionalni zlonamjerni softver u roku od tri ili četiri mjeseca.) Međutim s obzirom na izazove uključeni u ažuriranje softvera na milijardu i više Android uređaja, tvorci zlonamjernog softvera imat će dovoljno vremena da smisle praktičnu primjena.
Ali...
3. Šanse su da zapravo niste "ranjivi"
QuadRooter je jedan od mnogih Android sigurnosna pitanja za koji je potrebno ručno instalirati aplikaciju. To znaci ručno ulazak u Sigurnosne postavke i prebacivanje potvrdnog okvira "Nepoznati izvori".
Bilo koja vulna koja zahtijeva ručnu instalaciju aplikacije nailazi na dvije glavne prepreke: Trgovina Play i ugrađena Androidova značajka "Provjera aplikacija".
S obzirom na to da je Check Point prvi put otkrio ranjivosti još u travnju, Google gotovo sigurno već neko vrijeme skenira aplikacije Trgovine Play za ova iskorištavanja. To znači da ćete biti dobro ako, poput većine ljudi, preuzimate aplikacije samo iz Trgovine Play.
A čak i ako to ne učinite, Androidova "Verify Apps" značajka osmišljena je da djeluje kao dodatni sloj zaštite, skenirajući programe iz nezavisnih izvora na poznati malware prije nego što ih instalirate. Ova je značajka prema zadanim postavkama omogućena u svim verzijama Androida od 4.2 Jelly Bean-a iz 2012. godine, a budući da je dio Google Play usluga, uvijek se ažurira. Od najnovija statistika dostupno, više od 90 posto aktivnih Android uređaja ima verziju 4.2 ili noviju.
Nemamo izričitu potvrdu od Googlea da "Verify Apps" skenira QuadRooter, ali s obzirom na to da je Google bio obaviješten prije nekoliko mjeseci, velika je vjerojatnost da jest. A ako je tako, Android će prepoznati bilo koju aplikaciju koja podržava QuadRooter kao štetnu i prikazati veliki zastrašujući zaslon upozorenja prije nego što vam dopusti da je približite instaliranju.
Ažuriranje: Google je potvrdio da Verify Apps mogu otkriti i blokirati QuadRooter.
U tom ste slučaju još uvijek "ranjivi?" Dobro tehnički. Mogli biste otići na Sigurnosne postavke, omogućiti Nepoznate izvore, a zatim zanemariti upozorenje preko cijelog zaslona da ćete instalirati zlonamjerni softver i onemogućiti još jednu sigurnosnu postavku negdje drugdje. Ali u tom trenutku, u velikoj mjeri, to je na vama.
4. Sigurnost Androida je teška, čak i s mjesečnim zakrpama
Jedan zanimljiv aspekt QuadRooter sage je ono što nam pokazuje o sigurnosnim izazovima Androida koji i dalje ostaju, čak i u svijetu mjesečnih sigurnosnih zakrpa. Tri od četiri ranjivosti ispravljene su u posljednjim zakrpama iz kolovoza 2016., ali jedna je očito provukla pukotine i neće biti ispravljena do zakrpe u rujnu. To je razlog za opravdanu zabrinutost s obzirom na to da se otkrivanje dogodilo još u travnju.
Međutim, predstavnik Qualcomma je rekao ZDNet da je proizvođač čipova izdavao vlastite zakrpe proizvođačima između travnja i srpnja, pa je moguće da su određeni modeli možda ažurirani izvan Googleovog mehanizma zakrpe. To samo naglašava zabunu u vezi s eksplicitnom razinom zakrpe od Googlea, dok proizvođači uređaja i proizvođači komponenata također pružaju sigurnosne popravke.
Za sada, jedini način da saznate je li vaš telefon teoretski ranjiv je preuzimanje Check Pointa Aplikacija za skener QuadRoot iz Trgovine Play.
Čak i nakon izdavanja zakrpa, oni moraju proći kroz proizvođače uređaja i pružatelje usluga prije nego što ih istisnu na telefone. Iako su se neke tvrtke poput Samsunga, BlackBerryja i (prirodno) Googlea brze pobrinule da najnovije zakrpe jesu dostupni, većina ljudi koji proizvode Android uređaje nisu ni približno tako pravodobni - pogotovo kada je riječ o starijim ili jeftinijim cijenama telefoni.
QuadRooter naglašava kako ih sveprisutnost Android uređaja zasnovanih na Qualcommu čini atraktivnom metom, dok raznolikost hardvera u cjelini čini njihovo ažuriranje gotovo nemogućim.
5. Već smo bili ovdje
- Upamćeno marketinško ime? Ček.
- Veliki zastrašujući broj "ranjivih" uređaja? Ček.
- Besplatna aplikacija za otkrivanje koju zaštitarska tvrtka distribuira s proizvodom koji prodaje? Ček.
- Nema dokaza o upotrebi u divljini? Ček.
- Široko pritisnite ignorirajući Trgovinu Play i potvrdite aplikacije kao prepreku zlouporabama temeljenim na aplikacijama? Ček.
To je isti ples koji radimo svake godine oko sigurnosnih konferencija. 2014. bilo je Lažna osobna iskaznica. 2015. godine bilo je Trema. Nažalost, razumijevanje sigurnosnih problema s Androidom u širokim medijima i dalje je žalosno, a to znači da se brojke poput "900 milijuna" pogođenih poskakivaju oko eho komore bez kontekst.
Ako ste pametni oko aplikacija koje instalirate, nema puno razloga za brigu. Čak i ako niste, velika je vjerojatnost da će vam usluge pružiti usluge Play i Verify Apps.
VIŠE: Android Malware - biste li trebali biti zabrinuti?
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Proviziju za kupnju možemo zaraditi putem naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će primati dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Evo najboljih slučajeva za Galaxy S10.
Iako to nije najnoviji telefon, Galaxy S10 jedan je od najljepših i najsklizavijih telefona na tržištu. Obavezno ga opremite jednim od ovih slučajeva.