Ingen spinn, ingen tull, bare klare enkle snakk om hva som skjer denne gangen
Noen virkelige snakk om denne utnyttelsen som Bluebox-sikkerhetsteamet oppdaget er nødvendig. Det første du må vite er at du sannsynligvis blir berørt. Det er en utnyttelse som fungerer på alle enheter som ikke har blitt lappet siden Android 1.6. Hvis du har rotfestet og ROM-en din telefon, kan du fritt ignorere alt dette. Ingenting av dette teller for deg, fordi det er et helt annet sett med sikkerhetsproblemer som følger med root og tilpassede ROM-er som du kan bekymre deg for.
Hvis du ikke har merket av den beryktede tillatelsesboksen "Ukjente kilder" i innstillingene dine, betyr alt dette ingenting for deg. Fortsett, og føl deg fri til å være litt selvtilfreds og rettferdig - du fortjener det for å unngå sideloading hele denne tiden i tilfelle noe slikt kunne skje. Hvis du ikke vet hva dette betyr, Spør noen.
Verizon tilbyr Pixel 4a for bare $ 10 / mo på nye ubegrensede linjer
For resten av oss, les forbi pausen.
Mer: IDG News Service.
Spesiell takk til hele Android Central Ambassador-teamet for at de hjalp meg med å forstå dette!
Hva er det?
Alle apper på Android er signert med en kryptografisk nøkkel. Når det er på tide å oppdatere appen, må den nye versjonen ha samme digitale signatur som den gamle, ellers vil den ikke overskrive. Du kan ikke oppdatere den, med andre ord. Det er ingen unntak, og utviklere som mister signeringsnøkkelen, må lage en helt ny app som vi må laste ned igjen. Det betyr å starte fra null. Alle nye nedlastinger, alle nye anmeldelser og rangeringer. Det er ikke noe trivielt.
Systemappene - de som ble installert på telefonen din fra HTC eller Samsung eller Google - har også en nøkkel. Disse appene har ofte fullstendig administratortilgang til alt på telefonen din, fordi de er pålitelige apper fra produsenten. Men de er fortsatt bare apper.
Fortsatt å følge meg?
Det vi snakker om nå, hva Bluebox snakker om, er en metode for å rive opp en Android-app og endre koden uten å forstyrre den kryptografiske nøkkelen. Vi heier når hackere kommer rundt låste bootloadere, og dette er den samme typen utnyttelse. Når du låser noe, vil andre finne en vei inn hvis de prøver hardt nok. Og når plattformen din er den mest populære på planeten, prøver folk veldig hardt.
Så noen kan ta et systemapplikasjon fra en telefon. Bare trekk den rett ut. Ved å bruke denne utnyttelsen kan de redigere den for å gjøre stygge ting - gi den et nytt versjonsnummer, og pakke den sammen mens de beholder den samme, gyldige signeringsnøkkelen. Du kan da potensielt installere denne appen rett over din eksisterende kopi, og du har nå en app designet for å gjøre dårlige ting, og den har full tilgang til hele systemet. Hele tiden vil appen se ut og oppføre seg normalt - du vil aldri vite at noe fishy skjer.
Yikes.
Hva blir gjort med det?
Folkene på Bluebox fortalte hele Open Handset Alliance om dette tilbake i februar. Google og OEM-er er ansvarlige for å lappe ting for å forhindre det. Samsung gjorde sitt med Galaxy S4, men alle andre telefoner de selger er sårbare. HTC og The One klarte ikke kuttet, så alle HTCs telefoner er sårbare. Faktisk er hver telefon unntatt Samsung Touchwiz-versjonen Galaxy S4 sårbar.
Google har ennå ikke oppdatert Android for å lappe dette problemet. Jeg forestiller meg at de jobber hardt med det - se problemene Chainfire har gått gjennom å rote Android 4.3. Men Google satte seg ikke tom for og ignorerte det heller. Google Play-butikken er "patched" slik at ingen manipulerte apper kan lastes opp til Googles servere. Det betyr at enhver app du laster ned fra Google Play er ren - i det minste når det gjelder denne utnyttelsen. Men steder som Amazon, Slide Me, og selvfølgelig alle de sprakk APK-forumene der ute, er åpne, og alle applikasjoner kan ha dårlig JuJu inne i den.
Så dette er veldig greit?
Ja, det er en enorm avtale. Og samtidig, nei, det er det virkelig ikke.
Google vil lappe hvordan Android oppdaterer apper eller måten de er signert på. I dette katt-og-mus-spillet er dette en normal forekomst. Google gir ut programvare, hackere (både den gode og den dårlige typen) prøver å utnytte den, og når de gjør det, endrer Google koden. Slik fungerer programvare, og denne typen ting bør forventes når du har nok smarte mennesker som prøver å bryte seg inn.
På den annen side kan det hende at telefonen du har nå ikke noen gang ser en oppdatering for å fikse dette. Helvete, det tok Samsung nesten et år å lappe nettleseren mot en utnyttelse som kunne slette alle brukerdataene dine på bare noen av telefonene. Hvis du har en telefon du forventer å bli oppdatert til Android 4.3, blir du sannsynligvis lappet. Hvis ikke, er det noen som gjetter. Det er ille - veldig ille. Jeg prøver ikke å smelle på menneskene som lager telefonene våre, men sannheten er sannheten.
Hva kan jeg gjøre?
- Ikke last ned noen apper utenfor Google Play.
- Ikke last ned apper utenfor Google Play.
- Ikke last ned noen apper utenfor Google Play.
- Faktisk, fortsett og slå av tillatelsen Ukjente kilder hvis du vil. Jeg gjorde. Alt annet gir deg sårbarhet. Noen "Anti-Virus" -apper sjekker om du har ukjente kilder aktivert hvis du ikke er sikker. Gå inn på forumet og finn ut hvilken som alle sier er best hvis du trenger det.
- Gi uttrykk for din misnøye med å ikke få viktige sikkerhetsoppdateringer for telefonen din. Spesielt hvis du fortsatt har den toårige (eller treårige - hei Canada!) -Kontrakten.
- Rot telefonen din, og installer en ROM som har en slags løsning - de populære vil sannsynligvis ha veldig snart.
Så ikke få panikk. Men vær proaktiv og bruk sunn fornuft. Nå er det en veldig god tid å slutte å installere sprukne apper, fordi folk som gjør sprekkingen er den samme typen mennesker som kan sette onde koder i appen. Hvis du får oppdateringsmeldinger som kommer fra et annet sted enn Google Play, kan du si ifra til noen. Fortelle oss hvis du trenger det. Finn ut menneskene som prøver å videreformidle disse bedriftene og gi dem en tung dose offentlig skam og eksponering. Kakerlakker hater lyset.
Dette vil passere som sikkerhetsskrekk alltid gjør, men en annen vil gå inn for å fylle skoene. Det er dyrets natur. Vær trygg gutta.
Har du lyttet til denne ukens Android Central Podcast?
Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett-smarttelefonserie. Siden de begge er Android One-enheter, mottar de garantert to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Sikre hjemmet ditt med disse SmartThings-dørklokkene og låsene.
En av de beste tingene med SmartThings er at du kan bruke en rekke andre tredjepartsenheter på systemet ditt, inkludert dørklokker og låser. Siden de alle i det vesentlige deler den samme SmartThings-støtten, har vi fokusert på hvilke enheter som har de beste spesifikasjonene og triksene for å rettferdiggjøre å legge dem til SmartThings-arsenalet ditt.