Sem rodeios, sem besteiras, apenas uma conversa simples e clara sobre o que está acontecendo neste momento
É necessária alguma conversa real sobre esse exploit que a equipe de segurança do Bluebox descobriu. A primeira coisa a saber é que provavelmente você foi afetado. É um exploit que funciona em todos os dispositivos que não foram corrigidos desde o Android 1.6. Se você fez root e ROM em seu telefone, pode ignorar tudo isso livremente. Nada disso conta para você, porque há um conjunto totalmente diferente de questões de segurança que vem com ROMs de raiz e personalizadas para você se preocupar.
Se você não tiver a infame caixa de permissão "Fontes desconhecidas" marcada em suas configurações, tudo isso não significa nada para você. Continue e sinta-se livre para ser um pouco presunçoso e hipócrita - você merece por evitar Carregamento lateral todo esse tempo caso algo assim pudesse acontecer. Se você não sabe o que isso significa, pergunte a alguém.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Para o resto de nós, leia além do intervalo.
Mais: IDG News Service.
Agradecimentos especiais a toda a equipe do Android Central Ambassador por me ajudar a entender isso!
O que é isso?
Todos os aplicativos em seu Android são assinados com uma chave criptográfica. Quando chegar a hora de atualizar o aplicativo, a nova versão deve ter a mesma assinatura digital da antiga ou não será substituída. Você não pode atualizá-lo, em outras palavras. Não há exceções, e os desenvolvedores que perdem a chave de assinatura precisam criar um aplicativo totalmente novo, que precisamos baixar novamente. Isso significa começar do zero. Todos os novos downloads, todos os novos comentários e avaliações. Não é um assunto trivial.
Os aplicativos do sistema - aqueles que vêm instalados no seu telefone da HTC ou Samsung ou Google - também têm uma chave. Esses aplicativos geralmente têm acesso de administrador completo a tudo em seu telefone, porque são aplicativos confiáveis do fabricante. Mas eles ainda são apenas aplicativos.
Ainda está me seguindo?
O que estamos falando agora, do que Bluebox está falando, é um método para abrir um aplicativo Android e alterar o código sem perturbar a chave criptográfica. Nós aplaudimos quando hackers contornam bootloaders bloqueados, e este é o mesmo tipo de exploração. Quando você bloqueia algo, outras pessoas encontrarão uma maneira de entrar, se tentarem com força suficiente. E quando sua plataforma é a mais popular do planeta, as pessoas se esforçam muito.
Então, alguém pode pegar um aplicativo do sistema de um telefone. Basta puxar para fora. Usando esse exploit, eles podem editá-lo para fazer coisas desagradáveis - dar a ele um novo número de versão e empacotá-lo de volta, mantendo a mesma chave de assinatura válida. Você poderia então instalar este aplicativo diretamente sobre sua cópia existente, e agora você tem um aplicativo projetado para fazer coisas ruins e tem acesso completo a todo o seu sistema. O tempo todo, o aplicativo terá aparência e comportamento normal - você nunca saberá que algo suspeito está acontecendo.
Caramba.
O que está sendo feito sobre isso?
O pessoal da Bluebox disse a toda a Open Handset Alliance sobre isso em fevereiro. O Google e os OEMs são responsáveis por corrigir as coisas para evitá-lo. A Samsung fez sua parte com o Galaxy S4, mas todos os outros telefones que vendem são vulneráveis. HTC e o One não fizeram o corte, então todos os telefones da HTC são vulneráveis. Na verdade, todos os telefones, exceto a versão Galaxy S4 do Samsung Touchwiz, são vulneráveis.
O Google ainda não atualizou o Android para corrigir esse problema. Eu imagino que eles estão trabalhando duro nisso - veja os problemas que Chainfire passou para fazer o root do Android 4.3. Mas o Google também não ficou parado e ignorou. A Google Play Store foi “corrigida” para que nenhum aplicativo adulterado possa ser carregado nos servidores do Google. Isso significa que qualquer aplicativo que você baixar do Google Play está limpo - pelo menos no que diz respeito a esse exploit específico. Mas lugares como Amazon, Slide Me e, claro, todos aqueles fóruns de APK crackeados por aí estão totalmente abertos e todos os aplicativos podem conter JuJu ruim.
Então isso é realmente um grande negócio?
Sim, é um grande negócio. E ao mesmo tempo, não, realmente não é.
O Google corrigirá a forma como o Android atualiza aplicativos ou a forma como eles são assinados. Neste jogo de gato e rato, isso é uma ocorrência normal. O Google lança software, os hackers (do tipo bom e do tipo ruim) tentam explorá-lo e, quando o fazem, o Google muda o código. É assim que o software funciona, e esse tipo de coisa deve ser esperado quando você tem gente inteligente o suficiente tentando invadir.
Por outro lado, o telefone que você tem agora pode nunca ver uma atualização para corrigir isso. Inferno, a Samsung levou quase um ano para corrigir o navegador contra um exploit que poderia apagar todos os seus dados de usuário apenas alguns de seus telefones. Se você tem um telefone que espera ser atualizado para o Android 4.3, provavelmente receberá um patch. Se não, é a incógnita. Isso é ruim - muito ruim. Não estou tentando criticar as pessoas que fazem nossos telefones, mas verdade é verdade.
O que eu posso fazer?
- Não baixe nenhum aplicativo fora do Google Play.
- Não faça download de nenhum aplicativo fora do Google Play.
- Não baixe nenhum aplicativo fora do Google Play.
- Na verdade, vá em frente e desative a permissão Fontes desconhecidas, se desejar. Eu fiz. Qualquer outra coisa o deixa vulnerável. Alguns aplicativos “antivírus” verificarão se você tem fontes desconhecidas habilitadas, se não tiver certeza. Entre nos fóruns e descubra qual deles todos dizem ser o melhor, se necessário.
- Expresse seu descontentamento por não obter atualizações de segurança essenciais para o seu telefone. Especialmente se você ainda estiver naquele contrato de dois anos (ou três anos - olá, Canadá!).
- Faça root no seu telefone e instale uma ROM que tenha algum tipo de correção - as mais populares provavelmente terão em breve.
Portanto, não entre em pânico. Mas seja proativo e use o bom senso. Agora é realmente um bom momento para parar de instalar aplicativos crackeados, porque as pessoas que fazem o cracking são o mesmo tipo de pessoa que poderia colocar códigos malignos no aplicativo. Se você receber qualquer aviso de atualização proveniente de um local diferente do Google Play, informe alguém. Contar nos se você precisar. Descubra as pessoas que estão tentando passar essas façanhas e dê a elas uma grande dose de vergonha e exposição públicas. As baratas odeiam a luz.
Isso vai passar como os sustos da segurança sempre passam, mas outro entrará para ocupar seu lugar. Essa é a natureza da besta. Fiquem seguros, pessoal.
Você já ouviu o podcast central do Android desta semana?
Todas as semanas, o Android Central Podcast traz as últimas notícias de tecnologia, análises e cenas importantes, com co-apresentadores familiares e convidados especiais.
- Inscreva-se no Pocket Casts: Áudio
- Inscreva-se no Spotify: Áudio
- Inscreva-se no iTunes: Áudio
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Proteja sua casa com essas campainhas e fechaduras SmartThings.
Uma das melhores coisas sobre o SmartThings é que você pode usar uma série de outros dispositivos de terceiros em seu sistema, incluindo campainhas e fechaduras. Como todos eles basicamente compartilham o mesmo suporte SmartThings, nos concentramos em quais dispositivos têm as melhores especificações e truques para justificar adicioná-los ao seu arsenal SmartThings.