Nema okretanja, nema sranja, samo jasan jednostavan razgovor o tome što se ovaj put događa
Potreban je stvarni razgovor o ovom podvigu koji je otkrio sigurnosni tim Blueboxa. Prvo što treba znati je da ste vjerojatno pogođeni. To je exploit koji radi na svim uređajima koji nisu zakrpani od Androida 1.6. Ako ste ukorijenili i ROM postavili telefon, sve to možete slobodno ignorirati. Ništa vam se od toga ne računa jer postoji čitav niz različitih sigurnosnih problema koji se isporučuju s root i prilagođenim ROM-ovima zbog kojih biste trebali brinuti.
Ako u svojim postavkama niste označili zloglasni okvir za dopuštenje "Nepoznati izvori", sve vam to ništa ne znači. Nastavite i budite slobodni da budete malo samozadovoljni i samozatajni - zaslužili ste to što izbjegavate bočno opterećenje sve ovo vrijeme u slučaju da se tako nešto može dogoditi. Ako ne znate što ovo znači, pitajte nekoga.
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Za nas ostale, čitajte nakon stanke.
Više: IDG News Service.
Posebno zahvaljujem cijelom timu Android Central Ambassador koji mi je pomogao shvatiti ovo!
Što je?
Sve su aplikacije na vašem Androidu potpisane kriptografskim ključem. Kada je vrijeme za ažuriranje te aplikacije, nova verzija mora imati isti digitalni potpis kao i stara, jer se neće prebrisati. Drugim riječima, ne možete ga ažurirati. Nema iznimki, a programeri koji izgube ključ za potpisivanje moraju stvoriti potpuno novu aplikaciju koju moramo ponovno preuzeti. To znači krenuti od nule. Sva nova preuzimanja, sve nove recenzije i ocjene. Nije trivijalna stvar.
Sistemske aplikacije - one koje su na vaš telefon instalirali HTC, Samsung ili Google - također imaju ključ. Te aplikacije često imaju potpuni administratorski pristup svemu na vašem telefonu jer su to pouzdane aplikacije proizvođača. Ali to su još uvijek samo aplikacije.
Još uvijek me pratite?
Ovo o čemu sada govorimo, o čemu govori Bluebox, metoda je kojom se suza otvara Android aplikacija i mijenja kôd bez ometanja kriptografskog ključa. Razveselimo se kad hakeri zaobiđu zaključane bootloadere, a ovo je ista vrsta iskorištavanja. Kad nešto zaključate, drugi će pronaći put ako se dovoljno potrude. A kad je vaša platforma najpopularnija na planetu, ljudi se jako trude.
Dakle, netko može uzeti sistemsku aplikaciju s telefona. Samo ga izvuci. Koristeći ovaj exploit, mogu ga uređivati da čini gadne stvari - dati mu novi broj verzije i spakirati ga, zadržavajući isti, valjani ključ za potpisivanje. Tada biste ovu aplikaciju mogli instalirati točno iznad postojeće kopije, a sada imate aplikaciju dizajniranu da radi loše stvari i ima potpun pristup cijelom vašem sustavu. Cijelo vrijeme aplikacija će izgledati i ponašati se normalno - nikad nećete saznati da se događa nešto sumnjivo.
Jao.
Što se poduzima po tom pitanju?
Ljudi iz Blueboxa rekli su cijelom Savezu otvorenih slušalica o tome još u veljači. Google i OEM proizvođači odgovorni su za krpanje stvari kako bi to spriječili. Samsung je učinio svoje s Galaxy S4, ali svaki drugi telefon koji prodaju je ranjiv. HTC i One nisu napravili rez, pa su svi HTC-ovi telefoni ranjivi. Zapravo je svaki telefon osim Samsung Touchwiz verzije Galaxy S4 ranjiv.
Google još nije ažurirao Android kako bi popravio ovaj problem. Pretpostavljam da vrijedno rade na tome - pogledajte probleme koje je Chainfire prošao ukorjenjujući Android 4.3. No, ni Google nije sjedio skrštenih ruku i nije to ignorirao. Trgovina Google Play "zakrpana" je tako da se neovlaštene datoteke ne mogu prenijeti na Googleove poslužitelje. To znači da je svaka aplikacija koju preuzmete s Google Playa čista - barem kad je riječ o ovom konkretnom iskorištavanju. Ali mjesta poput Amazona, Slide Me i naravno svih onih ispucanih APK foruma tamo su širom otvorena i svaka aplikacija može imati loš JuJu u sebi.
Dakle, ovo je stvarno velika stvar?
Da, to je ogromna stvar. I istodobno, ne, stvarno nije.
Google će zakrpati način na koji Android ažurira aplikacije ili način na koji su potpisane. U ovoj igri mačke i miša ovo je normalna pojava. Google izdaje softver, hakeri (i dobri i zli) pokušavaju ga iskoristiti, a kad to učine, Google promijeni kôd. Tako softver funkcionira, a ovakve stvari treba očekivati kad imate dovoljno pametnih ljudi koji pokušavaju provaliti.
S druge strane, telefon koji imate sada možda nikada neće vidjeti ažuriranje da bi to popravio. Dovraga, Samsungu je trebala gotovo godina da popravi preglednik protiv exploita koji bi mogao samo izbrisati sve vaše korisničke podatke neki svojih telefona. Ako imate telefon za koji očekujete da će biti ažuriran na Android 4.3, vjerojatno ćete se zakrpati. Ako ne, to svatko pretpostavlja. To je loše - vrlo loše. Ne pokušavam šljakati ljude koji nam proizvode telefone, ali istina je istina.
Što mogu učiniti?
- Ne preuzimajte nijednu aplikaciju izvan Google Playa.
- Ne preuzimajte nijednu aplikaciju izvan Google Playa.
- Ne preuzimajte nijednu aplikaciju izvan Google Playa.
- U stvari, samo naprijed i isključite dozvolu Nepoznati izvori ako želite. Učinio sam. Sve drugo čini vas ranjivima. Neke aplikacije "Anti-Virus" provjerit će imate li omogućene nepoznate izvore ako niste sigurni. Uđite na forume i saznajte koji je od njih svima najbolji ako trebate.
- Izrazite svoje nezadovoljstvo što niste dobili bitna sigurnosna ažuriranja za svoj telefon. Pogotovo ako ste još uvijek na tom dvogodišnjem (ili trogodišnjem - pozdrav Kanado!) Ugovoru.
- Ukorijenite svoj telefon i instalirajte ROM koji ima neku vrstu ispravka - popularni će se vjerojatno vrlo brzo uključiti.
Zato nemojte paničariti. Ali budite proaktivni i koristite neki zdrav razum. Sada je stvarno dobro vrijeme za zaustavljanje instaliranja ispucanih aplikacija, jer ljudi koji rade probijanje iste su vrste ljudi koji bi mogli staviti zli kod u aplikaciju. Ako primite bilo kakve obavijesti o ažuriranju koje dolaze s mjesta koje nisu Google Play, javite nekome. Reći nas ako trebate. Shvatite ljude koji pokušavaju prenijeti ove podvige i dajte im jaku dozu javnog sramoćenja i razotkrivanja. Žohari mrze svjetlost.
To će proći kao što to uvijek prolaze sigurnosne strahove, ali još jedan će uskočiti da popuni cipele. To je priroda zvijeri. Budite sigurni.
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Možemo zaraditi proviziju za kupnju pomoću naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će dobiti dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Osigurajte svoj dom ovim SmartThings zvonima i bravama.
Jedna od najboljih stvari o SmartThingsu je ta da na vašem sustavu možete koristiti mnoštvo drugih uređaja treće strane, uključujući zvona na vratima i brave. Budući da svi oni u osnovi dijele istu podršku za SmartThings, usredotočili smo se na to koji uređaji imaju najbolje specifikacije i trikove kako bi opravdali njihovo dodavanje u vaš arsenal SmartThings.