Žiadne točenie, žiadne kecy, iba jasné jednoduché reči o tom, čo sa deje tentokrát
Potrebné sú skutočné rozhovory o tomto zneužití, ktoré bezpečnostný tím Bluebox zistil. Prvá vec, ktorú treba vedieť, je, že ste pravdepodobne ovplyvnení. Je to exploit, ktorý funguje na každom zariadení, ktoré nebolo od Androidu 1.6 opravené. Ak ste rootovali a mali svoj telefón v pamäti ROM, môžete toto všetko voľne ignorovať. Nič z toho sa pre vás nepočíta, pretože s root a vlastnými ROM je pre vás úplne iná skupina bezpečnostných obáv.
Ak vo svojich nastaveniach nemáte začiarknuté neslávne známe pole povolení „Neznáme zdroje“, neznamená to pre vás nič. Pokračujte a pokojne buďte trochu samoľúby a svojprávny - zaslúžite si to za vyhýbanie sa bočné nakladanie celý ten čas, keby sa niečo také mohlo stať. Ak neviete, čo to znamená, spýtaj sa niekoho.
Verizon ponúka Pixel 4a na nových linkách Unlimited iba za 10 dolárov za mesiac
Pre nás ostatných čítajte po prestávke.
Viac: Spravodajská služba IDG.
Špeciálne poďakovanie celému tímu Android Central Ambassador za pomoc, ktorá mi dáva zmysel!
Čo je to?
Všetky aplikácie vo vašom systéme Android sú podpísané kryptografickým kľúčom. Keď je čas aktualizovať túto aplikáciu, nová verzia musí mať rovnaký digitálny podpis ako stará, inak sa neprepíše. Inými slovami ju nemôžete aktualizovať. Neexistujú žiadne výnimky a vývojári, ktorí stratia podpisový kľúč, musia vytvoriť úplne novú aplikáciu, ktorú si musíme znova a znova sťahovať. To znamená začať od nuly. Všetky nové stiahnuté súbory, všetky nové recenzie a hodnotenia. Nie je to triviálna záležitosť.
Systémové aplikácie - tie, ktoré boli do telefónu nainštalované od spoločností HTC alebo Samsung alebo Google - majú tiež kľúč. Tieto aplikácie majú často úplný prístup správcu ku všetkému vo vašom telefóne, pretože ide o dôveryhodné aplikácie od výrobcu. Stále sú to však iba aplikácie.
Stále ma sleduješ?
To, o čom teraz hovoríme, o čom hovorí Bluebox, je metóda na roztrhnutie aplikácie pre Android a zmenu kódu bez narušenia kryptografického kľúča. Fandíme, keď hackeri obchádzajú zamknuté bootloadery, a toto je rovnaký druh zneužitia. Keď niečo zamknete, ostatní si nájdu cestu, ak sa pokúsia dosť. A keď je vaša platforma najpopulárnejšia na planéte, ľudia sa veľmi snažia.
Niekto si teda môže vziať systémovú aplikáciu z telefónu. Jednoducho to vytiahnite. Pomocou tohto zneužitia ho môžu upraviť, aby mohli robiť škaredé veci - dať mu nové číslo verzie a zbaliť ho späť k sebe, pričom si ponechajú rovnaký platný podpisový kľúč. Túto aplikáciu by ste potom mohli nainštalovať priamo nad svoju existujúcu kópiu a teraz máte aplikáciu navrhnutú na vykonávanie zlých vecí, ktorá má úplný prístup k celému vášmu systému. Po celú dobu bude aplikácia vyzerať a správať sa normálne - nikdy nebudete vedieť, že sa niečo deje.
Fuj.
Čo sa s tým robí?
Ľudia v Blueboxe o tom povedali celej aliancii Open Handset Alliance vo februári. Google a OEM sú zodpovední za opravu, aby sa tomu zabránilo. Spoločnosť Samsung urobila svoje pri Galaxy S4, ale každý ďalší telefón, ktorý predávajú, je zraniteľný. HTC a One neurobili škrty, takže všetky telefóny HTC sú zraniteľné. V skutočnosti je každý telefón okrem verzie Samsung Touchwiz Galaxy S4 zraniteľný.
Google zatiaľ neaktualizoval Android, aby tento problém vyriešil. Predstavujem si, že na tom tvrdo pracujú - pozri si problémy, ktoré Chainfire prešiel zakorenením systému Android 4.3. Google však nezostal len tak nečinne a ignoroval to. Obchod Google Play bol „opravený“, aby na servery spoločnosti Google nebolo možné nahrať žiadne neoprávnene použité aplikácie. To znamená, že každá aplikácia, ktorú si stiahnete z Google Play, je čistá - teda aspoň v prípade tohto konkrétneho zneužitia. Ale miesta ako Amazon, Slide Me a samozrejme všetky tie popraskané fóra APK vonku sú dokorán a každá aplikácia môže obsahovať zlý JuJu.
Takže toto je naozaj veľká vec?
Áno, je to obrovský problém. A zároveň, nie, skutočne nie.
Google opraví spôsob, akým Android aktualizuje aplikácie, alebo spôsob, akým sú podpísané. V tejto hre na mačku a myš je to normálny jav. Google vydáva softvér, hackeri (dobrý aj zlý) sa ho snažia zneužiť a keď tak urobia, Google zmení kód. Takto funguje softvér a takéto veci by sa mali očakávať, keď máte dostatok šikovných ľudí, ktorí sa snažia preniknúť.
Na druhej strane, telefón, ktorý teraz máte, sa nemusí niekedy dočkať aktualizácie, ktorá by to napravila. Do pekla, spoločnosti Samsung trvalo takmer rok, kým opravila prehliadač proti zneužitiu, ktoré mohlo jednoducho vymazať všetky vaše používateľské údaje niektoré svojich telefónov. Ak máte telefón, od ktorého očakávate aktualizáciu na Android 4.3, pravdepodobne vás opravia. Ak nie, je to ktokoľvek. To je zlé - veľmi zlé. Nesnažím sa zabiť ľudí, ktorí vyrábajú naše telefóny, ale pravda je pravda.
Čo môžem urobiť?
- Nestahujte žiadne aplikácie mimo Google Play.
- Nestahujte žiadne aplikácie mimo Google Play.
- Nestahujte žiadne aplikácie mimo Google Play.
- Ak chcete, v skutočnosti vypnite povolenie Neznáme zdroje. Urobil som. Čokoľvek iné vás robí zraniteľnými. Niektoré „antivírusové“ aplikácie skontrolujú, či máte aktivované neznáme zdroje, ak si nie ste istí. Zúčastnite sa fór a zistite, ktoré z nich každý považuje za najlepšie, ak potrebujete.
- Vyjadrte svoju nespokojnosť nad tým, že pre svoj telefón nedostávate základné bezpečnostné aktualizácie. Najmä ak ste stále na tej dvojročnej (alebo trojročnej - ahoj Kanada!) Zmluve.
- Vykoreňte telefón a nainštalujte ROM, ktoré má nejaký druh opravy - populárne sa pravdepodobne čoskoro objavia.
Takže neprepadajte panike. Buďte však iniciatívny a používajte zdravý rozum. Teraz je naozaj vhodný čas na to, aby ste prestali inštalovať crackované aplikácie, pretože ľudia, ktorí robia cracking, sú rovnakí ľudia, ktorí by do aplikácie mohli vložiť zlý kód. Ak dostanete nejaké oznámenia o aktualizácii pochádzajúce z iného miesta ako Google Play, povedzte to niekomu. Povedz nás ak potrebujete. Zistite, ktorí ľudia sa snažia preniesť tieto zneužívania, a dajte im veľkú dávku verejného hanobenia a odhalenia. Šváby nenávidia svetlo.
To prejde tak, ako to vždy vystrašia bezpečnostné obavy, ale zasiahne ďalší a vyplní si topánky. To je podstata šelmy. Zostaňte v bezpečí.
Počúvali ste tento týždeň Android Central Podcast?
Každý týždeň vám Android Central Podcast prináša najnovšie technologické správy, analýzy a zaujímavé novinky so známymi spolupracovníkmi a špeciálnymi hosťami.
- Prihlásiť sa na odber vo vrecku: Zvuk
- Prihlásiť sa na odber v Spotify: Zvuk
- Prihlásiť sa na odber v iTunes: Zvuk
Za nákupy môžeme získať províziu pomocou našich odkazov. Uč sa viac.
Toto sú najlepšie bezdrôtové slúchadlá do uší, ktoré si môžete kúpiť za každú cenu!
Najlepšie bezdrôtové slúchadlá do uší sú pohodlné, vynikajúco znejú, nestoja príliš veľa a ľahko sa zmestia do vrecka.
Všetko, čo potrebujete vedieť o PS5: Dátum vydania, cena a ďalšie.
Spoločnosť Sony oficiálne potvrdila, že pracuje na PlayStation 5. Tu je všetko, čo o nej zatiaľ vieme.
Spoločnosť Nokia predstavuje dva nové lacné telefóny Android One s cenou do 200 dolárov.
Nokia 2.4 a Nokia 3.4 sú najnovším prírastkom do cenovej ponuky inteligentných telefónov spoločnosti HMD Global. Pretože sú to obe zariadenia Android One, je zaručené, že budú dostávať dve hlavné aktualizácie operačného systému a pravidelné bezpečnostné aktualizácie až na tri roky.
Zabezpečte si svoj domov pomocou týchto zvončekov a zámkov SmartThings.
Jednou z najlepších vecí na SmartThings je, že vo svojom systéme môžete používať množstvo ďalších zariadení tretích strán, vrátane zvončekov a zámkov. Pretože všetky v zásade zdieľajú rovnakú podporu SmartThings, zamerali sme sa na to, ktoré zariadenia majú najlepšie technické parametre a triky, vďaka ktorým ich môžete pridať do svojho arzenálu SmartThings.