Nessun giro, nessuna stronzata, solo chiari semplici discorsi su cosa sta succedendo questa volta
È necessario parlare di questo exploit che il team di sicurezza di Bluebox ha scoperto. La prima cosa da sapere è che probabilmente ne sei influenzato. È un exploit che funziona su tutti i dispositivi a cui non è stata applicata la patch da Android 1.6. Se hai eseguito il root e la ROM del tuo telefono, puoi ignorare liberamente tutto questo. Niente di tutto questo conta per te, perché c'è una serie completamente diversa di problemi di sicurezza che vengono forniti con root e ROM personalizzate di cui preoccuparti.
Se non hai la famigerata casella di autorizzazione "Origini sconosciute" selezionata nelle impostazioni, tutto questo non significa nulla per te. Vai avanti e sentiti libero di essere un po 'compiaciuto e ipocrita - te lo meriti per aver evitato sideloading tutto questo tempo nel caso in cui qualcosa del genere potesse accadere. Se non sai cosa significa, chiedi a qualcuno.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
Per il resto di noi, leggi oltre la pausa.
Di Più: Servizio di notizie IDG.
Un ringraziamento speciale a tutto il team di Android Central Ambassador per avermi aiutato a dare un senso a tutto ciò!
Che cos'è?
Tutte le app sul tuo Android sono firmate con una chiave crittografica. Quando è il momento di aggiornare l'app, la nuova versione deve avere la stessa firma digitale della vecchia altrimenti non verrà sovrascritta. Non puoi aggiornarlo, in altre parole. Non ci sono eccezioni e gli sviluppatori che perdono la chiave di firma devono creare un'app nuova di zecca che dobbiamo scaricare di nuovo. Ciò significa partire da zero. Tutti i nuovi download, tutte le nuove recensioni e valutazioni. Non è cosa da poco.
Anche le app di sistema, quelle che sono state installate sul telefono da HTC o Samsung o Google, hanno una chiave. Queste app hanno spesso accesso amministratore completo a tutto sul telefono, perché sono app attendibili dal produttore. Ma sono ancora solo app.
Mi segui ancora?
Quello di cui stiamo parlando ora, quello di cui parla Bluebox, è un metodo per aprire un'app Android e cambiare il codice senza disturbare la chiave crittografica. Esultiamo quando gli hacker aggirano bootloader bloccati, e questo è lo stesso tipo di exploit. Quando blocchi qualcosa, gli altri troveranno un modo se si sforzano abbastanza. E quando la tua piattaforma è la più popolare del pianeta, le persone si impegnano molto.
Quindi, qualcuno può prendere un'applicazione di sistema da un telefono. Basta tirarlo fuori. Usando questo exploit, possono modificarlo per fare cose brutte: assegnargli un nuovo numero di versione e rimetterlo insieme mantenendo la stessa chiave di firma valida. Potresti quindi potenzialmente installare questa app proprio sopra la tua copia esistente e ora hai un'app progettata per fare cose cattive e ha accesso completo all'intero sistema. Per tutto il tempo, l'app apparirà e si comporterà normalmente: non saprai mai che sta succedendo qualcosa di strano.
Yikes.
Cosa si sta facendo al riguardo?
I ragazzi di Bluebox ne hanno parlato a tutta Open Handset Alliance a febbraio. Google e gli OEM sono responsabili della correzione delle cose per prevenirlo. Samsung ha fatto la sua parte con il Galaxy S4, ma ogni altro telefono che vendono è vulnerabile. HTC e One non hanno fatto il taglio, quindi tutti i telefoni HTC sono vulnerabili. In effetti, tutti i telefoni tranne la versione Samsung Touchwiz Galaxy S4 sono vulnerabili.
Google non ha ancora aggiornato Android per correggere questo problema. Immagino che ci stiano lavorando sodo: guarda i problemi che Chainfire ha affrontato con il rooting di Android 4.3. Ma Google non se ne stava a guardare e lo ignorava. Il Google Play Store è stato "patchato" in modo che nessuna app manomessa possa essere caricata sui server di Google. Ciò significa che qualsiasi app scaricata da Google Play è pulita, almeno per quanto riguarda questo particolare exploit. Ma posti come Amazon, Slide Me e, naturalmente, tutti quei forum APK crackati là fuori sono spalancati e ogni applicazione potrebbe avere un cattivo JuJu al suo interno.
Quindi questo è davvero un grosso problema?
Sì, è un affare enorme. E allo stesso tempo no, non lo è davvero.
Google correggerà il modo in cui Android aggiorna le app o il modo in cui sono firmate. In questo gioco del gatto e del topo, questo è un evento normale. Google rilascia software, gli hacker (sia quelli buoni che quelli cattivi) cercano di sfruttarlo e quando lo fanno Google cambia il codice. È così che funziona il software, e questo genere di cose ci si dovrebbe aspettare quando ci sono abbastanza persone intelligenti che cercano di entrare.
D'altra parte, il telefono che hai ora potrebbe non vedere mai un aggiornamento per risolvere questo problema. Diavolo, Samsung ha impiegato quasi un anno per applicare una patch al browser contro un exploit che poteva cancellare tutti i tuoi dati utente alcuni dei suoi telefoni. Se hai un telefono che prevedi venga aggiornato ad Android 4.3, probabilmente riceverai una patch. In caso contrario, nessuno lo sa. È brutto, molto brutto. Non sto cercando di screditare le persone che producono i nostri telefoni, ma la verità è verità.
Cosa posso fare?
- Non scaricare alcuna app al di fuori di Google Play.
- Non scaricare alcuna app al di fuori di Google Play.
- Non scaricare alcuna app al di fuori di Google Play.
- In effetti, vai avanti e disattiva il permesso Fonti sconosciute se lo desideri. L'ho fatto. Qualsiasi altra cosa ti lascia vulnerabile. Alcune app "Anti-Virus" verificheranno se hai origini sconosciute abilitate se non sei sicuro. Entra nei forum e scopri quale dicono tutti è il migliore se necessario.
- Esprimi il tuo disappunto per non ricevere gli aggiornamenti di sicurezza essenziali per il tuo telefono. Soprattutto se hai ancora quel contratto di due anni (o tre anni - ciao Canada!).
- Esegui il root del telefono e installa una ROM che ha una sorta di correzione: quelle popolari probabilmente saranno disponibili molto presto.
Quindi niente panico. Ma sii proattivo e usa un po 'di buon senso. Ora è davvero un buon momento per smettere di installare app crackate, perché le persone che fanno il cracking sono lo stesso tipo di persone che potrebbero inserire codice malvagio nell'app. Se ricevi avvisi di aggiornamento provenienti da un luogo diverso da Google Play, dillo a qualcuno. Raccontare noi se hai bisogno di. Scopri le persone che stanno cercando di trasmettere questi exploit e dai loro una forte dose di vergogna ed esposizione pubblica. Gli scarafaggi odiano la luce.
Passerà come fanno sempre le paure per la sicurezza, ma un altro interverrà per riempire i suoi panni. Questa è la natura della bestia. State al sicuro ragazzi.
Hai ascoltato il podcast Android Central di questa settimana?
Ogni settimana, Android Central Podcast ti offre le ultime notizie tecnologiche, analisi e hot take, con co-host familiari e ospiti speciali.
- Iscriviti in Pocket Casts: Audio
- Iscriviti su Spotify: Audio
- Iscriviti in iTunes: Audio
Potremmo guadagnare una commissione per gli acquisti utilizzando i nostri link. Per saperne di più.
Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!
I migliori auricolari wireless sono comodi, hanno un suono eccezionale, non costano troppo e stanno facilmente in tasca.
Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro ancora.
Sony ha ufficialmente confermato che sta lavorando su PlayStation 5. Ecco tutto ciò che sappiamo finora.
Nokia lancia due nuovi telefoni Android One economici a meno di $ 200.
Nokia 2.4 e Nokia 3.4 sono le ultime aggiunte alla gamma di smartphone economici di HMD Global. Poiché sono entrambi dispositivi Android One, è garantito che riceveranno due importanti aggiornamenti del sistema operativo e aggiornamenti di sicurezza regolari per un massimo di tre anni.
Proteggi la tua casa con questi campanelli e serrature SmartThings.
Una delle cose migliori di SmartThings è che puoi utilizzare una serie di altri dispositivi di terze parti sul tuo sistema, campanelli e serrature inclusi. Poiché condividono tutti essenzialmente lo stesso supporto SmartThings, ci siamo concentrati su quali dispositivi hanno le migliori specifiche e trucchi per giustificare l'aggiunta al tuo arsenale di SmartThings.