Memahami ketakutan keamanan 'Master Key' Android terbaru

Tidak ada putaran, tidak ada omong kosong, cukup jelaskan pembicaraan sederhana tentang apa yang terjadi kali ini

Beberapa pembicaraan nyata tentang eksploitasi yang ditemukan oleh tim keamanan Bluebox ini diperlukan. Hal pertama yang perlu diketahui adalah Anda mungkin terpengaruh. Ini adalah eksploitasi yang berfungsi di setiap perangkat yang belum ditambal sejak Android 1.6. Jika Anda telah melakukan root dan ROM ponsel Anda, Anda dapat dengan bebas mengabaikan semua ini. Semua ini tidak diperhitungkan untuk Anda, karena ada serangkaian masalah keamanan yang berbeda yang datang dengan root dan ROM kustom untuk Anda khawatirkan.

Jika Anda tidak mencentang kotak izin "Sumber Tidak Dikenal" yang terkenal di setelan Anda, ini semua tidak ada artinya bagi Anda. Teruskan, dan jangan ragu untuk menjadi sedikit sombong dan merasa benar sendiri - Anda pantas mendapatkannya karena menghindar sideload selama ini kalau-kalau hal seperti ini bisa terjadi. Jika Anda tidak tahu apa artinya, tanya seseorang.

Untuk kita semua, baca setelah istirahat.

Lebih: Layanan Berita IDG.

Terima kasih khusus kepada seluruh tim Android Central Ambassador yang telah membantu saya memahami hal ini!

Apa itu?

Semua aplikasi di Android Anda ditandatangani dengan kunci kriptografik. Jika sudah waktunya untuk memperbarui aplikasi itu, versi baru harus memiliki tanda tangan digital yang sama dengan versi lama atau tidak akan menimpa. Dengan kata lain, Anda tidak dapat memperbaruinya. Tidak ada pengecualian, dan pengembang yang kehilangan kunci penandatanganan mereka harus membuat aplikasi baru yang harus kami unduh lagi. Artinya mulai dari nol. Semua unduhan baru, semua ulasan dan peringkat baru. Ini bukan masalah sepele.

Aplikasi sistem - yang terpasang di ponsel Anda dari HTC atau Samsung atau Google - juga memiliki kunci. Aplikasi ini sering kali memiliki akses administrator penuh ke semua yang ada di ponsel Anda, karena merupakan aplikasi tepercaya dari pabrikan. Tapi itu masih aplikasi.

Masih mengikuti saya?

Apa yang kita bicarakan sekarang, apa yang Bluebox bicarakan, adalah metode untuk membuka aplikasi Android dan mengubah kodenya tanpa mengganggu kunci kriptografi. Kami bersorak ketika peretas menemukan bootloader yang terkunci, dan ini adalah jenis eksploitasi yang sama. Saat Anda mengunci sesuatu, orang lain akan menemukan jalan masuk jika mereka berusaha cukup keras. Dan saat platform Anda menjadi yang paling populer di planet ini, orang-orang akan berusaha keras.

Jadi, seseorang dapat mengambil aplikasi sistem dari telepon. Tarik saja keluar. Dengan menggunakan exploit ini, mereka dapat mengeditnya untuk melakukan hal-hal buruk - memberinya nomor versi baru, dan mengemasnya kembali sambil tetap menggunakan kunci penandatanganan yang valid dan sama. Anda kemudian dapat berpotensi menginstal aplikasi ini tepat di atas salinan yang ada, dan sekarang Anda memiliki aplikasi yang dirancang untuk melakukan hal-hal buruk dan memiliki akses penuh ke seluruh sistem Anda. Sepanjang waktu, aplikasi akan terlihat dan berperilaku normal - Anda tidak akan pernah tahu sesuatu yang mencurigakan sedang terjadi.

Astaga.

Apa yang telah dilakukan tentang itu?

Orang-orang di Bluebox memberi tahu seluruh Open Handset Alliance tentang hal ini pada bulan Februari. Google dan OEM bertanggung jawab untuk memperbaiki hal-hal untuk mencegahnya. Samsung melakukan bagiannya dengan Galaxy S4, tetapi setiap ponsel lain yang mereka jual rentan. HTC dan One tidak berhasil, jadi semua ponsel HTC rentan. Faktanya, setiap ponsel kecuali Samsung Touchwiz versi Galaxy S4 rentan.

Google belum memperbarui Android untuk menambal masalah ini. Saya membayangkan mereka sedang bekerja keras untuk itu - lihat masalah yang dialami Chainfire melalui rooting Android 4.3. Namun Google juga tidak tinggal diam dan mengabaikannya. Google Play Store telah "ditambal" sehingga tidak ada aplikasi yang dirusak yang dapat diunggah ke server Google. Itu berarti aplikasi apa pun yang Anda unduh dari Google Play bersih - setidaknya jika menyangkut eksploitasi khusus ini. Tetapi tempat-tempat seperti Amazon, Slide Me, dan tentu saja semua forum APK yang retak di luar sana terbuka lebar dan setiap aplikasi bisa memiliki JuJu yang buruk di dalamnya.

Jadi ini masalah yang sangat besar?

Ya, itu masalah besar. Dan pada saat yang sama, tidak, sebenarnya tidak.

Google akan menambal cara Android memperbarui aplikasi atau cara penandatanganannya. Dalam permainan kucing-dan-tikus ini, ini adalah kejadian normal. Google merilis perangkat lunak, peretas (baik yang baik maupun yang buruk) mencoba mengeksploitasinya, dan ketika mereka melakukannya, Google mengubah kodenya. Begitulah cara kerja perangkat lunak, dan hal semacam ini seharusnya diharapkan ketika Anda memiliki cukup banyak orang pintar yang mencoba masuk.

Di sisi lain, ponsel yang Anda miliki sekarang mungkin tidak akan pernah melihat pembaruan untuk memperbaikinya. Sial, Samsung butuh hampir satu tahun untuk menambal browser terhadap eksploitasi yang dapat menghapus semua data pengguna Anda hanya beberapa ponselnya. Jika Anda memiliki ponsel yang ingin Anda perbarui ke Android 4.3, Anda mungkin akan ditambal. Jika tidak, semua orang bisa menebaknya. Itu buruk - sangat buruk. Saya tidak mencoba untuk memaki orang-orang yang membuat ponsel kami, tetapi kebenaran adalah kebenaran.

Apa yang dapat saya?

• Jangan mengunduh aplikasi apa pun di luar Google Play.
• Jangan mengunduh aplikasi apa pun di luar Google Play.
• Jangan mengunduh aplikasi apa pun di luar Google Play.
• Nyatanya, lanjutkan dan matikan izin Sumber Tidak Dikenal jika Anda mau. Aku melakukannya. Ada hal lain yang membuat Anda rentan. Beberapa aplikasi "Anti-Virus" akan memeriksa apakah Anda mengaktifkan sumber tidak dikenal jika Anda tidak yakin. Masuklah ke forum dan cari tahu mana yang menurut semua orang adalah yang terbaik jika Anda perlu.
• Ekspresikan ketidaksenangan Anda karena tidak mendapatkan pembaruan keamanan penting untuk ponsel Anda. Terutama jika Anda masih dalam kontrak dua tahun (atau tiga tahun - halo Kanada!).
• Root ponsel Anda, dan instal ROM yang memiliki semacam perbaikan - yang populer kemungkinan akan segera menyala.

Jadi jangan panik. Tetapi jadilah proaktif dan gunakan akal sehat. Sekarang adalah waktu yang tepat untuk berhenti memasang aplikasi yang diretas, karena orang yang melakukan peretasan adalah orang yang sama yang dapat memasukkan kode jahat ke dalam aplikasi. Jika Anda mendapatkan pemberitahuan pembaruan apa pun yang berasal dari tempat selain Google Play, beri tahu seseorang. Menceritakan kami jika perlu. Cari tahu orang-orang yang mencoba untuk meneruskan eksploitasi ini dan beri mereka banyak penghinaan publik dan eksposur. Kecoak membenci cahaya.

Ini akan berlalu seperti ketakutan keamanan yang selalu terjadi, tetapi yang lain akan masuk untuk mengisi sepatunya. Itulah sifat dari binatang itu. Tetap aman guys.