De nieuwste beveiligingsangst voor Android 'Master Key' begrijpen

Geen spin, geen onzin, gewoon duidelijk, eenvoudig praten over wat er deze keer aan de hand is

Er moet echt gepraat worden over deze exploit waarvan het Bluebox-beveiligingsteam heeft ontdekt dat deze nodig is. Het eerste dat u moet weten, is dat u waarschijnlijk wordt getroffen. Het is een exploit die werkt op elk apparaat dat niet is gepatcht sinds Android 1.6. Als je je telefoon hebt geroot en ROM hebt gemaakt, kun je dit allemaal vrij negeren. Dit geldt allemaal niet voor u, omdat er bij root- en aangepaste ROM's een hele andere reeks beveiligingsproblemen is waar u zich zorgen over moet maken.

Als je het beruchte toestemmingsvak "Onbekende bronnen" niet hebt aangevinkt in je instellingen, betekent dit allemaal niets voor je. Ga door, en voel je vrij om een ​​beetje zelfgenoegzaam en zelfingenomen te zijn - je verdient het om te mijden Zijladen al die tijd voor het geval zoiets zou kunnen gebeuren. Als je niet weet wat dit betekent, vraag iemand.

Voor de rest van ons, lees na de pauze.

Meer: IDG News Service.

Speciale dank aan het hele Android Central Ambassador-team voor het helpen begrijpen van dit!

Wat is het?

Alle apps op uw Android zijn ondertekend met een cryptografische sleutel. Wanneer het tijd is om die app bij te werken, moet de nieuwe versie dezelfde digitale handtekening hebben als de oude, anders wordt deze niet overschreven. Met andere woorden, u kunt het niet bijwerken. Er zijn geen uitzonderingen, en ontwikkelaars die hun ondertekeningssleutel verliezen, moeten een geheel nieuwe app maken die we helemaal opnieuw moeten downloaden. Dat betekent vanaf nul beginnen. Alle nieuwe downloads, alle nieuwe recensies en beoordelingen. Het is geen triviale zaak.

De systeem-apps - degene die vanaf HTC of Samsung of Google op je telefoon zijn geïnstalleerd - hebben ook een sleutel. Deze apps hebben vaak volledige beheerderstoegang tot alles op je telefoon, omdat het vertrouwde apps van de fabrikant zijn. Maar het zijn nog steeds maar apps.

Volg je me nog steeds?

Waar we het nu over hebben, waar Bluebox het over heeft, is een methode om een ​​Android-app open te scheuren en de code te wijzigen zonder de cryptografische sleutel te verstoren. We juichen wanneer hackers vergrendelde bootloaders omzeilen, en dit is hetzelfde soort misbruik. Als je iets op slot doet, zullen anderen een weg naar binnen vinden als ze hard genoeg proberen. En wanneer uw platform het populairst is ter wereld, doen mensen hun best.

Iemand kan dus een systeemtoepassing van een telefoon halen. Trek hem er gewoon uit. Met behulp van deze exploit kunnen ze het bewerken om vervelende dingen te doen - het een nieuw versienummer geven en het weer inpakken terwijl ze dezelfde geldige ondertekeningssleutel behouden. Je zou deze app dan mogelijk kunnen installeren boven je bestaande exemplaar, en je hebt nu een app die is ontworpen om slechte dingen te doen en die volledige toegang heeft tot je hele systeem. De app ziet er de hele tijd normaal uit en gedraagt ​​zich normaal - je zult nooit weten dat er iets vreemds aan de hand is.

Yikes.

Wat wordt eraan gedaan?

De mensen van Bluebox vertelden de hele Open Handset Alliance hierover in februari. Google en OEM's zijn verantwoordelijk voor het patchen van dingen om dit te voorkomen. Samsung heeft zijn steentje bijgedragen met de Galaxy S4, maar elke andere telefoon die ze verkopen is kwetsbaar. HTC en de One hebben het niet gehaald, dus alle telefoons van HTC zijn kwetsbaar. In feite is elke telefoon behalve de Samsung Touchwiz-versie Galaxy S4 kwetsbaar.

Google heeft Android nog niet bijgewerkt om dit probleem op te lossen. Ik kan me voorstellen dat ze er hard aan werken - kijk naar de problemen die Chainfire heeft doorgemaakt met het rooten van Android 4.3. Maar Google zat er ook niet stil bij en negeerde het ook niet. De Google Play Store is "gepatcht" zodat er geen geknipte apps kunnen worden geüpload naar de servers van Google. Dat betekent dat elke app die u van Google Play downloadt, schoon is, tenminste wat deze specifieke exploit betreft. Maar plaatsen als Amazon, Slide Me en natuurlijk al die gekraakte APK-forums die er zijn, staan ​​wijd open en elke applicatie kan slechte JuJu bevatten.

Dus dit is echt een groot probleem?

Ja, het is een enorme deal. En tegelijkertijd, nee, dat is het echt niet.

Google patcht de manier waarop Android apps bijwerkt of de manier waarop ze zijn ondertekend. In dit kat-en-muisspel is dit een normaal verschijnsel. Google geeft software vrij, hackers (zowel de goede als de slechte) proberen deze te misbruiken, en wanneer ze dat doen, verandert Google de code. Dat is hoe software werkt, en dit soort dingen mag je verwachten als er genoeg slimme mensen zijn die proberen in te breken.

Aan de andere kant ziet de telefoon die u nu heeft mogelijk nooit een update om dit op te lossen. Het kostte Samsung bijna een jaar om de browser te patchen tegen een exploit die al je gebruikersgegevens kon wissen sommige van zijn telefoons. Als u een telefoon heeft waarvan u verwacht dat deze wordt bijgewerkt naar Android 4.3, krijgt u waarschijnlijk een patch. Zo niet, dan weet niemand het. Dat is slecht - heel erg. Ik probeer de mensen die onze telefoons maken niet te slaken, maar de waarheid is de waarheid.

Wat kan ik doen?

• Download geen apps buiten Google Play.
• Download geen apps buiten Google Play.
• Download geen apps buiten Google Play.
• Ga je gang en schakel de machtiging Onbekende bronnen uit als je wilt. Ik deed. Al het andere maakt je kwetsbaar. Sommige "Anti-Virus" -apps zullen controleren of u onbekende bronnen heeft ingeschakeld als u het niet zeker weet. Ga naar de forums en ontdek welke volgens iedereen de beste is als dat nodig is.
• Geef uiting aan uw ongenoegen over het niet ontvangen van essentiële beveiligingsupdates voor uw telefoon. Vooral als je nog steeds dat contract van twee jaar (of drie jaar - hallo Canada!) Hebt.
• Wortel je telefoon en installeer een ROM met een of andere oplossing - de populaire zullen waarschijnlijk zeer binnenkort beschikbaar zijn.

Dus geen paniek. Maar wees proactief en gebruik uw gezond verstand. Dit is echt een goed moment om te stoppen met het installeren van gekraakte apps, omdat de mensen die het kraken uitvoeren dezelfde soort mensen zijn die kwaadaardige code in de app zouden kunnen stoppen. Als u updatemeldingen ontvangt die afkomstig zijn van een andere plaats dan Google Play, vertel het dan aan iemand. Vertellen ons als je moet. Zoek uit welke mensen deze exploits proberen door te geven en geef ze een flinke dosis publieke schaamte en ontmaskering. Kakkerlakken haten het licht.

Dit zal voorbijgaan zoals beveiligingsangst altijd, maar een ander zal ingrijpen om zijn schoenen te vullen. Dat is de aard van het beest. Blijf veilig jongens.