Brez vrtenja, brez sranja, samo jasen preprost pogovor o dogajanju tokrat
Potreben je resničen pogovor o tem podvigu, ki ga je odkrila varnostna skupina Bluebox. Najprej morate vedeti, da ste verjetno prizadeti. To je podvig, ki deluje v vseh napravah, ki niso popravljene že od Androida 1.6. Če ste svoj telefon ukoreninili in ROM-u naredili, lahko vse to prezrete. Nič od tega ne šteje za vas, ker obstaja povsem drugačen nabor varnostnih vprašanj, ki so priloženi korenskemu in prilagojenemu ROM-u, da vas skrbi.
Če v vaših nastavitvah niste odkljukali razvpitega dovoljenja »Neznani viri«, vam vse to ne pomeni nič. Nadaljujte in bodite lahko samozadovoljni in samozavestni - zaslužite si to, da se izognete bočno nalaganje ves ta čas, če bi se kaj takega lahko zgodilo. Če ne veste, kaj to pomeni, vprašajte nekoga.
Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited
Za ostale pa preberite mimo odmora.
Več: Novinarska služba IDG.
Posebna zahvala celotni ekipi Android Central Ambassador, ki mi je pomagala pri razumevanju tega!
Kaj je to?
Vse aplikacije v vašem Androidu so podpisane s kriptografskim ključem. Ko je čas za posodobitev te aplikacije, mora imeti nova različica enak digitalni podpis kot stara, sicer ne bo prepisana. Z drugimi besedami, ne morete ga posodobiti. Izjeme ni, razvijalci, ki izgubijo ključ za podpisovanje, pa morajo ustvariti popolnoma novo aplikacijo, ki jo moramo znova prenesti. To pomeni, da začnemo od nič. Vsi novi prenosi, vse nove ocene in ocene. To ni malenkost.
Sistemske aplikacije - tiste, ki so jih v telefon namestili HTC, Samsung ali Google - imajo tudi ključ. Te aplikacije imajo pogosto popoln skrbniški dostop do vsega v telefonu, ker gre za zaupanja vredne aplikacije proizvajalca. A vseeno so samo aplikacije.
Še vedno me spremljate?
To, o čemer zdaj govorimo, o čemer govori Bluebox, je metoda, s katero odpremo aplikacijo za Android in spremenimo kodo, ne da bi motili kriptografski ključ. Razveseljujemo se, ko hekerji obidejo zaklenjene zagonske nalagalnike, in to je ista vrsta izkoriščanja. Ko nekaj zaklenete, bodo drugi našli pot, če se bodo dovolj potrudili. In ko je vaša platforma najbolj priljubljena na planetu, se ljudje zelo trudijo.
Torej, nekdo lahko vzame sistemsko aplikacijo iz telefona. Samo izvlecite. S tem izkoriščanjem ga lahko urejajo, da naredi grde stvari - dajo mu novo številko različice in jo spakirajo, hkrati pa ohranijo enak, veljaven podpisni ključ. Nato lahko to aplikacijo namestite tik nad obstoječo kopijo, zdaj pa imate aplikacijo, namenjeno slabim stvarem, in ima popoln dostop do celotnega sistema. Aplikacija bo ves čas videti in se obnašati normalno - nikoli ne boste vedeli, da se dogaja nekaj ribjega.
Joj.
Kaj se s tem počne?
Ljudje iz Blueboxa so o tem že februarja povedali celotno zvezo Open Handset Alliance. Google in proizvajalci originalne opreme so odgovorni za popravljanje stvari, da bi to preprečili. Samsung je naredil svoje pri Galaxy S4, vendar je vsak drugi telefon, ki ga prodajajo, ranljiv. HTC in One nista naredila reza, zato so vsi HTC-jevi telefoni ranljivi. Pravzaprav je vsak telefon, razen Samsung Touchwiz različice Galaxy S4, ranljiv.
Google še ni posodobil Androida, da bi odpravil to težavo. Predstavljam si, da trdo delajo na tem - glejte težave, ki jih je Chainfire prehodil s koreninanjem Androida 4.3. A tudi Google ni sedel križem rok in ga tudi ni upošteval. Trgovina Google Play je bila "zakrpana", tako da na Googlove strežnike ni mogoče naložiti nobenih prirejenih aplikacij. To pomeni, da je vsaka aplikacija, ki jo prenesete iz Googla Play, čista - vsaj tam, kjer gre za to posebno uporabo. Toda mesta, kot so Amazon, Slide Me in seveda vsi tisti razpokani forumi APK, so na splošno odprta in v vsaki aplikaciji je lahko slab JuJu.
Torej je to res velik posel?
Ja, to je ogromno. In hkrati ne, res ni.
Google bo popravil način, kako Android posodablja aplikacije ali način podpisa. V tej igri z mačkami in mišmi je to normalno. Google izda programsko opremo, hekerji (tako dobri kot slabi) jo skušajo izkoristiti in ko to storijo, Google spremeni kodo. Tako deluje programska oprema in takšne stvari je treba pričakovati, ko imate dovolj pametnih ljudi, ki poskušajo vdreti.
Po drugi strani telefon, ki ga imate zdaj, morda nikoli ne bo videl posodobitve, da bi to popravil. Hudiča, Samsung je potreboval skoraj eno leto, da je brskalnik popravil proti podvigu, ki bi lahko samo izbrisal vse vaše uporabniške podatke nekaj svojih telefonov. Če imate telefon, za katerega pričakujete, da bo posodobljen na Android 4.3, boste verjetno popravljeni. Če ne, ugiba kdo. To je slabo - zelo slabo. Ne poskušam trkati ljudi, ki izdelujejo naše telefone, toda resnica je resnica.
Kaj lahko naredim?
- Ne prenašajte nobenih aplikacij zunaj Googla Play.
- Ne prenašajte nobenih aplikacij zunaj Googla Play.
- Ne prenašajte nobenih aplikacij zunaj Googla Play.
- V resnici pojdite in izklopite dovoljenje za neznane vire, če želite. Jaz sem. Karkoli drugega vas pusti ranljivega. Nekatere »protivirusne« aplikacije bodo preverile, ali imate omogočene neznane vire, če niste prepričani. Pojdite na forume in ugotovite, kateri je po vašem mnenju najboljši, če je treba.
- Izrazite svoje nezadovoljstvo, ker niste prejeli bistvenih varnostnih posodobitev za svoj telefon. Še posebej, če ste še vedno na tej dvoletni (ali triletni - zdravo Kanada!) Pogodbi.
- Korenite telefon in namestite ROM, ki ima nekakšen popravek - priljubljeni bodo verjetno kmalu vklopljeni.
Torej brez panike. A bodite proaktivni in uporabite nekaj zdrave pameti. Zdaj je res pravi čas, da prenehamo z nameščanjem razpokanih aplikacij, ker so ljudje, ki delajo razpoke, enaki ljudje, ki bi lahko zlobno kodo vnesli v aplikacijo. Če prejmete obvestilo o posodobitvi, ki prihaja iz kraja, ki ni Google Play, obvestite nekoga. Povej nas če je treba. Ugotovite ljudi, ki poskušajo prenesti te podvige, in jim dajte močan odmerek in sramoto. Ščurki sovražijo svetlobo.
To bo minilo kot vedno strahovi pred varnostjo, vendar bo še eden stopil, da si napolni čevlje. To je narava zveri. Ostanite na varnem.
Ste že poslušali Android Central Podcast tega tedna?
Android Central Podcast vam vsak teden prinaša najnovejše tehnološke novice, analize in vroče posnetke z znanimi sovoditelji in posebnimi gosti.
- Naročite se na žepne zasedbe: Zvok
- Naročite se na Spotify: Zvok
- Naročite se v iTunes: Zvok
Za nakup lahko z našimi povezavami zaslužimo provizijo. Nauči se več.
To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!
Najboljše brezžične ušesne slušalke so udobne, odlično se slišijo, ne stanejo preveč in jih enostavno spravite v žep.
Vse, kar morate vedeti o PS5: datum izdaje, cena in še več.
Sony je uradno potrdil, da dela na PlayStation 5. Tukaj je vse, kar vemo o tem doslej.
Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD.
Nokia 2.4 in Nokia 3.4 sta zadnji dodatek k proračunski liniji pametnih telefonov HMD Global. Ker sta obe napravi Android One, bodo do treh let zagotovo prejemali dve glavni posodobitvi OS in redne varnostne posodobitve.
Zaščitite svoj dom s temi zvonci in ključavnicami SmartThings.
Ena najboljših stvari pri SmartThings je, da lahko v svojem sistemu uporabite številne druge naprave drugih proizvajalcev, vključno z zvonovi in ključavnicami. Ker imajo vsi v bistvu enako podporo za SmartThings, smo se osredotočili na to, katere naprave imajo najboljše specifikacije in trike, da bi upravičili njihovo dodajanje v svoj arzenal SmartThings.