Értelmezni a legújabb Android "Master Key" biztonsági rémületet

Nincs pörgés, baromság, csak egyértelmű, egyszerű beszéd arról, hogy mi folyik ez alkalommal

Néhány valódi beszélgetés erről a kihasználásról, amelyre a Bluebox biztonsági csapat felfedezése szükséges. Először tudni kell, hogy valószínűleg érintett. Ez egy olyan kihasználás, amely minden olyan eszközön működik, amelyet az Android 1.6 óta nem javítottak be. Ha gyökereztette és ROM-olta a telefonját, akkor mindezt szabadon figyelmen kívül hagyhatja. Ezek egyike sem számít Önnek, mert a gyökér- és az egyedi ROM-okkal együtt egészen más biztonsági aggályok vannak, amelyek miatt aggódnia kell.

Ha nincs bejelölve a hírhedt „Ismeretlen források” engedély négyzet a beállításaidban, ez mind nem jelent számodra. Folytasd tovább, és nyugodtan legyél kissé önelégült és önigazoló - megérdemled, hogy elkerülje oldaltöltés mindaddig, ha valami ilyesmi történhetne. Ha nem tudod, mit jelent ez, kérdezz meg valakit.

A többiek számára olvassuk el a szünetet.

Több: IDG News Service.

Külön köszönet az egész Android Központi Nagykövet csapatnak, hogy segítettek ennek megértésében!

Mi az?

Az összes Android-alkalmazás titkosítási kulccsal van aláírva. Amikor eljött az alkalmazás frissítésének ideje, az új verziónak ugyanazzal a digitális aláírással kell rendelkeznie, mint a régi, különben nem írja felül. Más szavakkal nem frissítheti. Nincs kivétel, és azoknak a fejlesztőknek, akik elveszítik az aláíró kulcsot, egy teljesen új alkalmazást kell létrehozniuk, amelyet újra le kell töltenünk. Ez azt jelenti, hogy nulláról indulunk. Minden új letöltés, minden új vélemény és értékelés. Ez nem triviális kérdés.

A rendszeralkalmazásoknak - amelyek a HTC-től, a Samsungtól vagy a Google-tól érkeztek telefonjára - szintén van kulcs. Ezeknek az alkalmazásoknak gyakran teljes rendszergazdai hozzáférésük van a telefon mindenéhez, mivel ezek a gyártó megbízható alkalmazásai. De még mindig csak alkalmazások.

Még mindig követ engem?

Amiről most beszélünk, amiről a Bluebox beszél, az egy olyan módszer, amellyel letéphetjük az Android alkalmazást és megváltoztathatjuk a kódot a kriptográfiai kulcs megzavarása nélkül. Örülünk, amikor a hackerek megkerülik a lezárt bootloadereket, és ez ugyanolyan kihasználás. Ha lezársz valamit, akkor mások is megtalálják a módját, ha elég keményen próbálkoznak. És amikor a platformod a legnépszerűbb a bolygón, az emberek nagyon igyekeznek.

Tehát valaki átvehet egy rendszeralkalmazást egy telefonról. Csak húzza ki azonnal. Ennek a kiaknázásnak a segítségével szerkeszthetik, hogy csúnya dolgokat hajtson végre - adjon neki egy új verziószámot, és csomagolja vissza, miközben megtartja ugyanazt az érvényes aláíró kulcsot. Ezután telepítheti ezt az alkalmazást közvetlenül a meglévő példány tetejére, és most van egy rosszul cselekedni tervezett alkalmazás, amely teljes hozzáféréssel rendelkezik az egész rendszeréhez. Az alkalmazás egész ideje alatt rendesen fog kinézni és viselkedni - soha nem fogod tudni, hogy valami halás történik.

Yikes.

Mit csinálnak ez ellen?

A Bluebox emberei még februárban elmondták az egész Open Handset Alliance-nak. A Google és az eredeti gyártók felelősek a dolgok javításáért annak megakadályozása érdekében. A Samsung megtette a részét a Galaxy S4-tel, de minden más általuk forgalmazott telefon sebezhető. A HTC és a One nem hajtotta végre a vágást, így a HTC összes telefonja sebezhető. Valójában a Samsung Touchwiz Galaxy S4 verzió kivételével minden telefon sebezhető.

A Google még nem frissítette az Android-ot a probléma javításához. Úgy képzelem, keményen dolgoznak rajta - lásd a Chainfire által az Android 4.3 gyökereztető problémáit. De a Google sem ült tétlenül, és figyelmen kívül hagyta. A Google Play áruházat „foltozták”, így egyetlen manipulált alkalmazás sem tölthető fel a Google szervereire. Ez azt jelenti, hogy minden, a Google Playről letöltött alkalmazás tiszta - legalábbis ez a konkrét kihasználás. De olyan helyek, mint az Amazon, a Slide Me, és természetesen mindazok az APK fórumok, amelyek ott vannak feltörve, nyitva vannak, és minden alkalmazásban lehet rossz JuJu.

Tehát ez egy igazán nagy ügy?

Igen, ez egy hatalmas üzlet. És ugyanakkor nem, valójában nem az.

A Google javítja az Android alkalmazások frissítésének vagy aláírásának módját. Ebben a macska-egér játékban ez normális eset. A Google kiad egy szoftvert, a hackerek (mind a jó, mind a rosszak) megpróbálják kihasználni, és amikor ezt megteszik, a Google megváltoztatja a kódot. Így működik a szoftver, és ilyesmire számítani kell, ha van elegendő okos ember, aki megpróbál betörni.

Másrészt előfordulhat, hogy a most használt telefon soha nem látja a frissítést a probléma megoldására. A fenébe, a Samsungnak majdnem egy évbe telt, amíg a böngészőt olyan javítások ellen javította, amelyek csak az összes felhasználói adatot törölhetik néhány telefonjai közül. Ha van olyan telefonja, amelyet várhatóan Android 4.3-ra frissít, valószínűleg javítani fogja. Ha nem, akkor bárki kitalálja. Ez rossz - nagyon rossz. Nem próbálom lecsapni azokat az embereket, akik a telefonunkat gyártják, de az igazság igazság.

Mit tehetek?

• Ne töltsön le egyetlen alkalmazást sem a Google Playen kívül.
• Ne töltsön le semmilyen alkalmazást a Google Playen kívül.
• Ne töltsön le egyetlen alkalmazást sem a Google Playen kívül.
• Valójában folytassa, és kapcsolja ki az Ismeretlen források engedélyét, ha úgy tetszik. Én csináltam. Minden más kiszolgáltatottá tesz. Egyes „Anti-Virus” alkalmazások ellenőrzik, hogy vannak-e engedélyezve ismeretlen források, ha nem biztos benne. Lépj be a fórumokba, és tudd meg, melyik mindenki szerint a legjobb, ha kell.
• Fejezze ki nemtetszését, hogy nem kapja meg a telefon alapvető biztonsági frissítéseit. Különösen, ha még mindig azon a kétéves (vagy hároméves - szia Kanada!) Szerződésen áll.
• Gyökereztesse be a telefonját, és telepítsen egy ROM-ot, amely valamilyen javítással rendelkezik - a népszerűek valószínűleg hamarosan bekapcsolnak.

Tehát ne essen pánikba. De legyél proaktív és használj valami józan észt. Most nagyon jó alkalom a repedt alkalmazások telepítésének leállítására, mert a feltörést végző emberek ugyanolyan emberek, akik gonosz kódot adhatnak az alkalmazásba. Ha olyan frissítési értesítéseket kap, amelyek a Google Playtől eltérő helyről származnak, szóljon valakinek. Mondd minket ha kell. Kitalálja azokat az embereket, akik megpróbálják továbbadni ezeket a kizsákmányolásokat, és nagy adag nyilvános szégyent és kitettséget szánnak nekik. A csótányok utálják a fényt.

Ez elmúlik, mint a biztonsági rémek mindig, de egy másik lép hozzá, hogy megtöltse a cipőjét. Ez a fenevad természete. Legyenek biztonságban srácok.