Bez wirowania, bez bzdur, po prostu prosta prosta rozmowa o tym, co się dzieje tym razem
Prawdziwa rozmowa o tym exploicie, który zespół bezpieczeństwa Bluebox odkrył, jest potrzebny. Przede wszystkim musisz wiedzieć, że prawdopodobnie jesteś dotknięty. To exploit działający na każdym urządzeniu, na które nie wprowadzono łatek od Androida 1.6. Jeśli zrootowałeś i zrootowałeś swój telefon, możesz to wszystko swobodnie zignorować. Nic z tego się dla Ciebie nie liczy, ponieważ istnieje zupełnie inny zestaw problemów związanych z bezpieczeństwem, które są związane z rootem i niestandardowymi ROMami, o które musisz się martwić.
Jeśli nie masz odznaczonego niesławnego pola uprawnień „Nieznane źródła” w ustawieniach, to wszystko nic dla Ciebie nie znaczy. Kontynuuj i nie krępuj się być trochę zadowolonym z siebie i nieomylnym - zasługujesz na to za unikanie Ładowanie boczne cały czas na wypadek, gdyby coś takiego mogło się wydarzyć. Jeśli nie wiesz, co to oznacza, Zapytaj kogoś.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Dla reszty z nas przeczytaj po przerwie.
Jeszcze: Serwis informacyjny IDG.
Specjalne podziękowania dla całego zespołu Android Central Ambassador za pomoc w zrozumieniu tego!
Co to jest?
Wszystkie aplikacje na Twoim Androidzie są podpisane kluczem kryptograficznym. Kiedy nadchodzi czas na aktualizację tej aplikacji, nowa wersja musi mieć ten sam podpis cyfrowy co stara, w przeciwnym razie nie zostanie nadpisana. Innymi słowy, nie możesz go zaktualizować. Nie ma wyjątków, a programiści, którzy utracą klucz podpisu, muszą stworzyć zupełnie nową aplikację, którą musimy pobrać od nowa. To znaczy zaczynając od zera. Wszystkie nowe pliki do pobrania, wszystkie nowe recenzje i oceny. To nie jest banalna sprawa.
Aplikacje systemowe - te, które zostały zainstalowane w telefonie przez HTC, Samsung lub Google - również mają klucz. Te aplikacje często mają pełny dostęp administratora do wszystkiego w telefonie, ponieważ są to zaufane aplikacje od producenta. Ale to wciąż tylko aplikacje.
Nadal mnie śledzisz?
To, o czym teraz mówimy, o czym mówi Bluebox, to metoda otwierania aplikacji na Androida i zmiany kodu bez naruszania klucza kryptograficznego. Wiwatujemy, gdy hakerzy omijają zablokowane programy ładujące, a to ten sam rodzaj exploita. Kiedy coś zablokujesz, inni znajdą sposób, jeśli będą wystarczająco mocno się starać. A kiedy Twoja platforma jest najpopularniejsza na świecie, ludzie bardzo się starają.
Więc ktoś może pobrać aplikację systemową z telefonu. Po prostu wyciągnij go. Korzystając z tego exploita, mogą go edytować, aby robić nieprzyjemne rzeczy - nadać mu nowy numer wersji i spakować go z powrotem, zachowując ten sam, prawidłowy klucz podpisu. Następnie możesz potencjalnie zainstalować tę aplikację bezpośrednio nad istniejącą kopią, a teraz masz aplikację zaprojektowaną do robienia złych rzeczy i ma pełny dostęp do całego systemu. Przez cały czas aplikacja będzie wyglądać i zachowywać się normalnie - nigdy nie dowiesz się, że dzieje się coś podejrzanego.
Yikes.
Co się z tym dzieje?
Ludzie z Bluebox powiedzieli o tym całemu Open Handset Alliance w lutym. Google i producenci OEM są odpowiedzialni za poprawki, aby temu zapobiec. Samsung zrobił swoją część z Galaxy S4, ale każdy inny sprzedawany przez nich telefon jest podatny na ataki. HTC i One nie odniosły sukcesu, więc wszystkie telefony HTC są podatne na ataki. W rzeczywistości każdy telefon poza wersją Samsung Touchwiz Galaxy S4 jest podatny na ataki.
Google nie zaktualizował jeszcze Androida, aby załatać ten problem. Wyobrażam sobie, że ciężko nad tym pracują - zobacz problemy, które Chainfire przeszedł przez rootowanie Androida 4.3. Ale Google nie siedział bezczynnie i też to ignorował. Sklep Google Play został „poprawiony”, więc żadne zmodyfikowane aplikacje nie mogą być przesyłane na serwery Google. Oznacza to, że każda aplikacja pobrana z Google Play jest czysta - przynajmniej jeśli chodzi o ten konkretny exploit. Ale miejsca takie jak Amazon, Slide Me i oczywiście wszystkie te pęknięte fora APK są szeroko otwarte i każda aplikacja może mieć w sobie złe JuJu.
Więc to naprawdę wielka sprawa?
Tak, to wielka sprawa. A jednocześnie nie, tak naprawdę nie jest.
Google poprawi sposób, w jaki Android aktualizuje aplikacje lub sposób ich podpisywania. W tej grze w kotka i myszkę jest to normalne zjawisko. Google wypuszcza oprogramowanie, hakerzy (zarówno te dobre, jak i złe) próbują je wykorzystać, a kiedy to robią, Google zmienia kod. Tak działa oprogramowanie i należy się tego spodziewać, gdy masz wystarczająco dużo mądrych ludzi próbujących się włamać.
Z drugiej strony telefon, który masz teraz, może nigdy nie zobaczyć aktualizacji, która to naprawi. Do diabła, Samsungowi zajęło prawie rok, aby załatać przeglądarkę pod kątem exploita, który mógłby usunąć wszystkie dane użytkownika trochę swoich telefonów. Jeśli masz telefon, który ma zostać zaktualizowany do Androida 4.3, prawdopodobnie zostanie załatany. Jeśli nie, nikt nie zgadnie. To źle - bardzo źle. Nie próbuję narzekać na ludzi, którzy produkują nasze telefony, ale prawda jest prawdą.
Co mogę zrobić?
- Nie pobieraj żadnych aplikacji spoza Google Play.
- Nie pobieraj żadnych aplikacji spoza Google Play.
- Nie pobieraj żadnych aplikacji spoza Google Play.
- W rzeczywistości, jeśli chcesz, wyłącz uprawnienie Nieznane źródła. Zrobiłem. Wszystko inne czyni cię bezbronnym. Niektóre aplikacje „antywirusowe” sprawdzają, czy masz włączone nieznane źródła, jeśli nie masz pewności. Wejdź na fora i dowiedz się, które z nich jest najlepsze, jeśli potrzebujesz.
- Wyraź niezadowolenie, że nie otrzymujesz niezbędnych aktualizacji zabezpieczeń telefonu. Zwłaszcza jeśli nadal masz ten dwuletni (lub trzyletni - witaj Kanadzie!) Kontrakt.
- Zrootuj telefon i zainstaluj ROM, który ma jakąś poprawkę - popularne z nich prawdopodobnie wkrótce się włączy.
Więc nie panikuj. Ale bądź proaktywny i kieruj się zdrowym rozsądkiem. Teraz jest naprawdę dobry moment, aby przestać instalować złamane aplikacje, ponieważ ludzie, którzy je włamują, są tymi samymi osobami, które mogą umieścić zły kod w aplikacji. Jeśli otrzymasz powiadomienia z innego miejsca niż Google Play, powiedz o tym komuś. Powiedzieć nas Jeśli potrzebujesz. Znajdź ludzi, którzy próbują przekazać te exploity i daj im dużą dawkę publicznego zawstydzenia i ujawnienia. Karaluchy nienawidzą światła.
To minie jak zawsze strach przed bezpieczeństwem, ale inny wkroczy, by wypełnić jego buty. Taka jest natura bestii. Bądźcie bezpieczni.
Czy słuchałeś podcastu Android Central z tego tygodnia?
Co tydzień podcast Android Central Podcast przedstawia najnowsze wiadomości techniczne, analizy i gorące ujęcia ze znajomymi współgospodarzami i gośćmi specjalnymi.
- Subskrybuj w Pocket Casts: Audio
- Subskrybuj w Spotify: Audio
- Subskrybuj w iTunes: Audio
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
To najlepsze bezprzewodowe słuchawki douszne, które możesz kupić za każdą cenę!
Najlepsze bezprzewodowe słuchawki douszne są wygodne, świetnie brzmią, nie kosztują zbyt wiele i łatwo mieszczą się w kieszeni.
Wszystko, co musisz wiedzieć o PS5: data premiery, cena i nie tylko.
Sony oficjalnie potwierdziło, że pracuje nad PlayStation 5. Oto wszystko, co o nim wiemy.
Nokia wprowadza na rynek dwa nowe, budżetowe telefony z Androidem One poniżej 200 dolarów.
Nokia 2.4 i Nokia 3.4 to najnowsze dodatki do budżetowej linii smartfonów HMD Global. Ponieważ oba są urządzeniami z Androidem One, mają gwarancję otrzymania dwóch głównych aktualizacji systemu operacyjnego i regularnych aktualizacji zabezpieczeń przez okres do trzech lat.
Zabezpiecz swój dom dzwonkami i zamkami SmartThings.
Jedną z najlepszych rzeczy w SmartThings jest to, że możesz używać wielu innych urządzeń innych firm w swoim systemie, w tym dzwonków do drzwi i zamków. Ponieważ wszystkie one zasadniczo korzystają z tej samej obsługi SmartThings, skupiliśmy się na tym, które urządzenia mają najlepsze specyfikacje i sztuczki, aby uzasadnić dodanie ich do arsenału SmartThings.