Dar kartą tai „Android“ saugumo gąsdinimo sezonas. Šio ryto naujienos atskleidė naujausią pažeidžiamumų kolekciją, kurią atrado saugos įmonė „Check Point“ ir sugrupuota po patraukliu „QuadRooter“. Kaip įprasta, daugumoje ataskaitų daugiausia dėmesio buvo skiriama blogiausiems atvejams ir šokiruojančiai dideliam potencialiai pažeidžiamų įrenginių skaičiui - šiuo atveju apytiksliai 900 mln.
Mes suskaidysime tiksliai tai, kas vyksta, ir tai, kiek pažeidžiami jūs greičiausiai būsite. Skaityk.
1. Tai „Qualcomm“ dalykas
„Check Point“ specialiai nukreipta į „Qualcomm“ dėl dominuojančios padėties „Android“ ekosistemoje. Kadangi tiek daug „Android“ telefonų naudoja „Qualcomm“ aparatinę įrangą, „Qualcomm“ tvarkyklės prisideda prie juose esančios programinės įrangos telefonai yra patrauklus taikinys - vienas pažeidžiamumas, turintis įtakos didelei „Android“ daliai vartotojų bazė. (Konkrečiai, klaidos veikia tinklą, grafiką ir atminties paskirstymo kodą.)
Visi keturi „QuadRooter“ sudarantys išnaudojimai veikia „Qualcomm“ tvarkykles, taigi, jei turite telefoną, kuriame nenaudojama „Qualcomm“ aparatinė įranga, viskas - pavyzdžiui, „Galaxy S6“ arba „Note 5“ (kuris naudoja „Samsung“ paties „Exynos“ procesorių ir „Shannon“ modemą), jūsų neveikia tai.
„Verizon“ siūlo „Pixel 4a“ tik už 10 USD per mėnesį naujose „Unlimited“ linijose
2. Tai rimta, tačiau nėra įrodymų, kad jis būtų naudojamas gamtoje
Kaip rodo pavadinimas, „QuadRoot“ yra keturių „Qualcomm“ kodo išnaudojimų rinkinys, kuris kenkėjiškai programai gali leisti įgyti root teises, t. Y. Prieigą iš esmės daryti bet ką telefone. Iš ten galite susapnuoti bet kokį košmaro scenarijų: užpuolikai klausosi telefono skambučių, šnipinėjimo per fotoaparatą, finansinės informacijos perkodavimo ar duomenų užrakinimo išpirkos programa.
Dar niekas nekalba apie tai, kad šie išnaudojimai naudojami laukinėje gamtoje, o tai yra geras dalykas. („Check Point“ skaičiuoja, kad blogi vaikinai ją pakuos į veikiančią kenkėjišką programą per tris ar keturis mėnesius.) Tačiau atsižvelgiant į iššūkius įsitraukę į milijardo plius „Android“ įrenginių programinės įrangos atnaujinimą, kenkėjiškų programų kūrėjai turės daug laiko išsiaiškinti praktišką taikymas.
Bet ...
3. Didelė tikimybė, kad jūs iš tikrųjų nesate „pažeidžiamas“
„QuadRooter“ yra vienas iš daugelio „Android“ saugos problemos kad jums reikia rankiniu būdu įdiegti programą. Tai reiškia rankiniu būdu pereiti į saugos nustatymus ir perjungti žymimąjį laukelį „Nežinomi šaltiniai“.
Bet kokia problema, kuriai reikia įdiegti rankiniu būdu, susiduria su dviem pagrindinėmis kliūtimis: „Play Store“ ir „Android“ įmontuota funkcija „Verify Apps“.
Atsižvelgiant į tai, kad „Check Point“ pirmą kartą atskleidė pažeidžiamumus dar balandžio mėnesį, „Google“ jau gana ilgą laiką tikrino „Play Store“ programas dėl šių išnaudojimų. Tai reiškia, kad viskas bus gerai, jei, kaip ir dauguma žmonių, programas atsisiųsite tik iš „Play“ parduotuvės.
Net jei to nepadarysite, „Android“ funkcija „Patvirtinti programas“ sukurta taip, kad veiktų kaip papildomas apsaugos sluoksnis, prieš diegdamas nuskaito programas iš trečiųjų šalių šaltinių dėl žinomos kenkėjiškos programos. Ši funkcija pagal numatytuosius nustatymus įgalinta visose „Android“ versijose nuo 2012 m. 4.2 versijos „Jelly Bean“ ir kadangi ji yra „Google Play“ paslaugų dalis, ji visada atnaujinama. Nuo naujausia statistika prieinama, daugiau nei 90 procentų aktyvių „Android“ įrenginių naudoja 4.2 ar naujesnę versiją.
Mes neturime aiškaus „Google“ patvirtinimo, kad „Verify Apps“ tikrina „QuadRooter“, tačiau atsižvelgiant į tai, kad „Google“ buvo informuota prieš kelis mėnesius, yra tikimybė, kad taip yra. Ir jei taip yra, „Android“ nustatys bet kokią „QuadRooter“ talpinančią programą kaip kenksmingą ir parodys didelį baisų įspėjamąjį ekraną, prieš leisdamas bet kur netoli jos įdiegti.
Atnaujinti: „Google“ patvirtino kad „Verify Apps“ gali aptikti ir užblokuoti „QuadRooter“.
Tokiu atveju jūs vis dar esate „pažeidžiamas“? Na techniškai. Galite įsivaizduoti saugos nustatymus, įjungti nežinomus šaltinius, tada nepaisyti viso ekrano įspėjimo, kad ketinate įdiegti kenkėjišką programą, ir išjungti dar vieną saugos parametrą kitur. Bet tuo metu tai didele dalimi priklauso nuo jūsų.
4. „Android“ saugumas yra sunkus, net naudojant mėnesinius pataisymus
Vienas įdomus „QuadRooter“ sagos aspektas yra tai, ką jis mums rodo apie „Android“ saugumo iššūkius, kurie vis dar išlieka, net ir mėnesinių saugumo pataisų pasaulyje. Trys iš keturių pažeidžiamumų ištaisyti naujausiuose 2016 m. Rugpjūčio mėnesio pataisuose, tačiau vienas, matyt, praslydo pro plyšius ir nebus pašalintas iki rugsėjo pataisos. Tai kelia teisėtą susirūpinimą, atsižvelgiant į tai, kad informacija buvo atskleista dar balandžio mėnesį.
Tačiau „Qualcomm“ atstovas pasakojo ZDNet kad lustų gamintojas išleido savo pleistrus gamintojams nuo balandžio iki liepos, todėl gali būti, kad tam tikri modeliai gali būti atnaujinti ne „Google“ pataisymo mechanizme. Tai tik pabrėžia painiavą, susijusią su aiškiu „Google“ pataisų lygiu, o įrenginių gamintojai ir komponentų gamintojai taip pat teikia saugos pataisas.
Kol kas vienintelis būdas sužinoti, ar jūsų telefonas yra teoriškai pažeidžiamas, yra atsisiųsti „Check Point“ „QuadRoot“ skaitytuvo programa iš „Play Store“.
Net ir išleidus pleistrus, prieš perkeldami juos į telefonus, jie turi pereiti per įrenginių gamintojus ir laikiklius. Ir nors kai kurios kompanijos, tokios kaip „Samsung“, „BlackBerry“ ir (natūraliai) „Google“, greitai stengėsi įsitikinti, ar yra naujausių pataisų prieinama, dauguma žmonių, gaminančių „Android“ įrenginius, nėra taip greitai, ypač kai kalbama apie senesnes ar mažesnes kainas telefonai.
„QuadRooter“ pabrėžia, kaip dėl „Qualcomm“ pagrįstų „Android“ įrenginių visuotinumo jie tampa patraukliu taikiniu, o dėl aparatinės įrangos įvairovės jų atnaujinti beveik neįmanoma.
5. Mes čia buvome anksčiau
- Patrauklus rinkodaros pavadinimas? Patikrinti.
- Didelis baisus „pažeidžiamų“ įrenginių skaičius? Patikrinti.
- Nemokama aptikimo programa, kurią saugos įmonė aprūpina parduodamu produktu? Patikrinti.
- Nėra įrodymų apie naudojimą gamtoje? Patikrinti.
- Spauda apskritai, nepaisydama „Play Store“ ir „Verify Apps“ kaip kliūties prieš programomis pagrįstą išnaudojimą? Patikrinti.
Tai tas pats šokis, kurį mes kasmet darome saugumo konferencijos metu. 2014 m Netikras ID. 2015 m Scenos baimė. Deja, visuotinėje žiniasklaidoje supratimas apie „Android“ saugumo problemas išliko nelaimingas, ir tai reiškia, kad tokie skaičiai kaip „900 milijonų“ nukrito aplink aido kamerą be kontekste.
Jei esate protingas dėl įdiegtų programų, nėra daug priežasčių nerimauti. Net jei nesate, tikėtina, kad „Play“ paslaugos ir „Verify Apps“ turės jūsų nugarą.
DAUGIAU: „Android“ kenkėjiška programa - ar turėtumėte jaudintis?
Ar klausėtės šios savaitės „Android Central Podcast“?
Kiekvieną savaitę „Android Central Podcast“ pateikia jums naujausias technikos naujienas, analizę ir naujienas su pažįstamais bendraautoriais ir ypatingais svečiais.
- Užsiprenumeruokite „Pocket Cast“: Garsas
- Prenumeruokite „Spotify“: Garsas
- Prenumeruokite „iTunes“: Garsas
Mes galime uždirbti komisinius už pirkinius naudodami savo nuorodas. Sužinokite daugiau.
Tai geriausios belaidės ausinės, kurias galite įsigyti už kiekvieną kainą!
Geriausios belaidės ausinės yra patogios, puikiai skamba, nekainuoja per daug ir lengvai telpa kišenėje.
Viskas, ką reikia žinoti apie PS5: išleidimo data, kaina ir dar daugiau
„Sony“ oficialiai patvirtino, kad dirba su „PlayStation 5“. Čia yra viskas, ką iki šiol apie tai žinome.
„Nokia“ išleidžia du naujus biudžetinius „Android One“ telefonus, kurių kaina mažesnė nei 200 USD.
„Nokia 2.4“ ir „Nokia 3.4“ yra naujausi „HMD Global“ biudžetinių išmaniųjų telefonų asortimento papildymai. Kadangi jie abu yra „Android One“ įrenginiai, garantuojama, kad jie gaus du pagrindinius OS atnaujinimus ir įprastus saugos atnaujinimus iki trejų metų.
Čia pateikiami geriausi „Galaxy S10“ dėklai.
Net jei tai nėra naujausias telefonas, „Galaxy S10“ yra vienas gražiausių ir slidžiausių telefonų rinkoje. Įsitikinkite, kad aprengiate vieną iš šių atvejų.