Nok en gang er det Android-skremmesesong. I morges brøt nyheten om den siste samlingen av sårbarheter, oppdaget av sikkerhetsfirmaet Check Point og gruppert sammen under den fengende monikeren "QuadRooter". Som vanlig har det meste av rapporteringen fokusert på worst case-scenarier og et sjokkerende stort antall potensielt sårbare enheter - i dette tilfellet anslagsvis 900 million.
Vi kommer til å bryte ned nøyaktig hva som skjer, og hvor sårbar du sannsynligvis vil være. Les videre.
1. Det er en Qualcomm-ting
Check Point målrettet seg spesielt mot Qualcomm på grunn av sin dominerende posisjon i Android-økosystemet. Fordi så mange Android-telefoner bruker Qualcomm-maskinvare, bidrar driverne Qualcomm til programvaren på disse telefoner gir et attraktivt mål - et enkelt sett med sårbarheter som påvirker en stor andel av Android brukerbase. (Spesielt påvirker feilene nettverk, grafikk og minnetildelingskode.)
Alle fire utnyttelsene som utgjør QuadRooter påvirker Qualcomm-drivere, så hvis du har en telefon som ikke bruker Qualcomm-maskinvare på alt - for eksempel en Galaxy S6 eller Note 5 (som bruker Samsungs egen Exynos-prosessor og Shannon-modem), blir du ikke berørt av dette.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
2. Det er alvorlig, men det er ingen bevis for at det er brukt i naturen
Som navnet antyder, er QuadRoot en samling av fire utnyttelser i Qualcomms kode som kan tillate at en ondsinnet app får root-rettigheter - dvs. tilgang til å gjøre i utgangspunktet hva som helst på telefonen din. Derfra kan du drømme om et hvilket som helst antall mareritt-scenarier: angripere som lytter på telefon samtaler, spionere gjennom kameraet ditt, utforske økonomiske detaljer eller låse dataene dine med løsepenger.
Ingen snakker om at disse utnyttelsene blir brukt i naturen ennå, noe som er bra. (Check Point anslår at skurkene vil ha det pakket inn i fungerende skadelig programvare innen tre eller fire måneder.) Men gitt utfordringene involvert i oppdatering av programvaren på milliarder pluss Android-enheter der ute, vil skaper av skadelig programvare ha god tid til å finne ut en praktisk applikasjon.
Men...
3. Sjansen er at du faktisk ikke er "sårbar"
QuadRooter er en av mange Android-sikkerhetsproblemer som krever at du installerer en app manuelt. Det betyr manuelt gå inn i sikkerhetsinnstillinger og slå av "Ukjente kilder".
Enhver vuln som krever at du installerer en app manuelt, kjører inn i to store sperringer: Play Store og Androids innebygde "Verify Apps" -funksjon.
Gitt at Check Point først avslørte sårbarhetene i april, har Google nesten helt sikkert skannet Play Store-apper for disse bedriftene i ganske lang tid. Det betyr at du vil ha det bra hvis du, som folk flest, bare laster ned apper fra Play Store.
Og selv om du ikke gjør det, er Android-funksjonen "Verify Apps" designet for å fungere som et ekstra beskyttelseslag, og skanne apper fra tredjepartskilder for kjent skadelig programvare før du installerer. Denne funksjonen er aktivert som standard i alle Android-versjoner siden 4.2 Jelly Bean i 2012, og fordi den er en del av Google Play Services, oppdateres den alltid. Pr siste statistikk tilgjengelig, mer enn 90 prosent av aktive Android-enheter kjører versjon 4.2 eller nyere.
Vi har ikke eksplisitt bekreftelse fra Google om at "Verify Apps" skanner etter QuadRooter, men gitt at Google ble informert for flere måneder siden, er sjansen stor for at det er det. Og hvis det er det, vil Android identifisere en hvilken som helst QuadRooter-app som skadelig og vise en stor skummel advarselsskjerm før du lar deg komme i nærheten av å installere den.
Oppdater: Google har bekreftet at Verify Apps kan oppdage og blokkere QuadRooter.
I så fall er du fortsatt "sårbar?" Vi vil teknisk sett. Du kan tenkes å gå til Sikkerhetsinnstillinger, aktivere Ukjente Kilder, og så ignorere fullskjermadvarselen om at du er i ferd med å installere skadelig programvare og deaktivere enda en sikkerhetsinnstilling andre steder. Men på det tidspunktet er det i stor grad på deg.
4. Android-sikkerhet er vanskelig, selv med månedlige oppdateringer
Et interessant aspekt av QuadRooter-sagaen er hva den viser oss om Android-sikkerhetsutfordringene som fremdeles gjenstår, selv i en verden med månedlige sikkerhetsoppdateringer. Tre av de fire sårbarhetene er løst i de siste oppdateringene i august 2016, men en har tilsynelatende sklidd gjennom sprekkene og vil ikke bli løst før septemberoppdateringen. Det er grunn til legitim bekymring gitt at avsløringen skjedde tilbake i april.
Imidlertid fortalte en Qualcomm-representant ZDNet at chipmakeren hadde utstedt egne oppdateringer til produsentene mellom april og juli, så det er mulig at visse modeller kan ha blitt oppdatert utenfor Googles oppdateringsmekanisme. Dette understreker bare forvirringen med å ha et eksplisitt oppdateringsnivå fra Google, mens produsenter og komponentprodusenter også tilbyr sikkerhetsoppdateringer.
Foreløpig er den eneste måten å vite om telefonen din er teoretisk sårbar, å laste ned Check Point QuadRoot skanner-app fra Play-butikken.
Selv når oppdateringer er gitt, må de gå gjennom produsenter og transportører før de blir presset ut til telefoner. Og selv om noen selskaper som Samsung, BlackBerry og (naturlig) Google har vært raske med å sørge for at de nyeste oppdateringene er tilgjengelig, de fleste som lager Android-enheter, er ikke i nærheten av så betimelig - spesielt når det gjelder eldre eller billigere telefoner.
QuadRooter understreker hvordan allestedsnærheten til Qualcomm-baserte Android-enheter gjør dem til et attraktivt mål, mens mangfoldet av maskinvare som helhet gjør det umulig å oppdatere dem alle.
5. Vi har vært her før
- Fengende markedsføringsnavn? Kryss av.
- Stort skummelt antall "sårbare" enheter? Kryss av.
- Gratis deteksjonsapp som er gitt av sikkerhetsselskap med et produkt å selge? Kryss av.
- Ingen bevis for bruk i naturen? Kryss av.
- Trykk stort sett på å ignorere Play Store og Verify Apps som en veisperring mot app-baserte utnyttelser? Kryss av.
Det er den samme dansen vi gjør hvert år rundt sikkerhetskonferansetid. I 2014 var det Falsk ID. I 2015 var det Sceneskrekk. Dessverre har forståelsen av Android-sikkerhetsproblemer i mediene generelt vært uhyggelig, og det betyr at tall som "900 millioner" berørte spretter rundt ekkokammeret uten kontekst.
Hvis du er smart om appene du installerer, er det ikke mye grunn til å bekymre deg for. Og selv om du ikke er det, er sjansen stor for at Play Services og Verify Apps får ryggen.
MER: Android Malware - burde du være bekymret?
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Her er de beste tilfellene for Galaxy S10.
Selv om det ikke er den nyeste telefonen der ute, er Galaxy S10 en av de fineste og glatteste telefonene på markedet. Forsikre deg om at du kler det med en av disse sakene.