Ingen snurr, inget skitsnack, bara tydligt enkelt prata om vad som händer den här gången
Några riktiga samtal om detta utnyttjande som Bluebox-säkerhetsteamet upptäckte behövs. Det första du ska veta är att du förmodligen påverkas. Det är en exploatering som fungerar på alla enheter som inte har lappats sedan Android 1.6. Om du har rotat och ROM-din telefon kan du fritt ignorera allt detta. Inget av detta räknas för dig, för det finns en helt annan uppsättning säkerhetsproblem som kommer med root- och anpassade ROM-skivor som du kan oroa dig för.
Om du inte har markerat den ökända behörighetsrutan "Okända källor" i dina inställningar betyder allt detta inget för dig. Fortsätt och känn dig fri att vara lite självbelåten och rättfärdig - du förtjänar det för att undvika sidoladdning hela tiden om något liknande skulle kunna hända. Om du inte vet vad det här betyder, fråga någon.
Verizon erbjuder Pixel 4a för bara $ 10 / månad på nya obegränsade linjer
För resten av oss, läs förbi pausen.
Mer: IDG News Service.
Ett särskilt tack till hela Android Central Ambassador-teamet för att hjälpa mig att förstå detta!
Vad är det?
Alla appar på din Android är signerade med en kryptografisk nyckel. När det är dags att uppdatera den appen måste den nya versionen ha samma digitala signatur som den gamla, annars skrivs den inte över. Du kan inte uppdatera det, med andra ord. Det finns inga undantag, och utvecklare som tappar sin signeringsnyckel måste skapa en helt ny app som vi måste ladda ner igen. Det betyder att börja från noll. Alla nya nedladdningar, alla nya recensioner och betyg. Det är ingen trivial fråga.
Systemapparna - de som installerades på din telefon från HTC eller Samsung eller Google - har också en nyckel. Dessa appar har ofta fullständig administratörsbehörighet till allt på din telefon, eftersom de är betrodda appar från tillverkaren. Men de är fortfarande bara appar.
Följer du fortfarande?
Vad vi pratar om nu, vad Bluebox pratar om, är en metod för att riva upp en Android-app och ändra koden utan att störa den kryptografiska nyckeln. Vi jublar när hackare kommer runt låsta bootloaders, och det här är samma slags exploatering. När du låser något hittar andra ett sätt in om de försöker tillräckligt hårt. Och när din plattform är den mest populära på planeten, försöker människor väldigt hårt.
Så någon kan ta en systemapplikation från en telefon. Dra bara ut det. Med hjälp av detta utnyttjande kan de redigera det för att göra otäcka saker - ge det ett nytt versionsnummer och packa ihop det samtidigt som de behåller samma giltiga signeringsnyckel. Du kan då eventuellt installera den här appen direkt över din befintliga kopia, och du har nu en app som är utformad för att göra dåliga saker och den har fullständig åtkomst till hela ditt system. Hela tiden kommer appen att se ut och bete sig normalt - du vet aldrig något fiskigt pågår.
Yikes.
Vad görs åt det?
Folket på Bluebox berättade för hela Open Handset Alliance om detta redan i februari. Google och OEM-företag är ansvariga för att lappa saker för att förhindra det. Samsung gjorde sin del med Galaxy S4, men alla andra telefoner de säljer är sårbara. HTC och The One lyckades inte, så alla HTC-telefoner är sårbara. Faktum är att alla telefoner utom Samsung Touchwiz-versionen Galaxy S4 är sårbara.
Google har ännu inte uppdaterat Android för att korrigera problemet. Jag antar att de jobbar hårt med det - se problemen Chainfire har gått igenom rooting Android 4.3. Men Google satt inte utan tvekan och ignorerade det heller. Google Play-butiken har "lappats" så att inga manipulerade appar kan laddas upp till Googles servrar. Det betyder att alla appar du laddar ner från Google Play är rena - åtminstone när det gäller den här exploateringen. Men platser som Amazon, Slide Me och naturligtvis alla de knäckta APK-forumen där ute är vidöppen och varje applikation kan ha dålig JuJu inuti den.
Så det här är en riktigt stor sak?
Ja, det är en enorm affär. Och samtidigt, nej, det är det verkligen inte.
Google lappar hur Android uppdaterar appar eller hur de signeras. I detta katt-och-mus-spel är detta en normal händelse. Google släpper programvara, hackare (både bra och dåliga slag) försöker utnyttja den, och när de gör ändrar Google koden. Så här fungerar programvara, och den här typen av saker bör förväntas när du har tillräckligt många smarta människor som försöker bryta in.
Å andra sidan kanske den telefon du har nu inte någonsin ser en uppdatering för att åtgärda detta. Helvete, det tog Samsung nästan ett år att lappa webbläsaren mot ett utnyttjande som kunde radera all din användardata på bara några av sina telefoner. Om du har en telefon som du förväntar dig att uppdateras till Android 4.3 kommer du förmodligen att bli lappad. Om inte, är det någon som gissar. Det är dåligt - väldigt dåligt. Jag försöker inte slå på de människor som tillverkar våra telefoner, men sanningen är sanningen.
Vad kan jag göra?
- Ladda inte ner några appar utanför Google Play.
- Ladda inte ner några appar utanför Google Play.
- Ladda inte ner några appar utanför Google Play.
- I själva verket fortsätt och stäng av behörigheten Okända källor om du vill. Jag gjorde. Allt annat gör dig sårbar. Vissa "Anti-Virus" -appar kontrollerar om du har okända källor aktiverade om du inte är säker. Gå in i forumen och ta reda på vilken som alla säger är bäst om du behöver.
- Uttryck ditt missnöje med att inte få viktiga säkerhetsuppdateringar för din telefon. Speciellt om du fortfarande har det tvååriga (eller treåriga - hej Kanada!) -Kontraktet.
- Rota din telefon och installera en ROM som har någon form av fix - de populära kommer sannolikt att ha mycket snart.
Så kom inte i panik. Men var proaktiv och använd lite sunt förnuft. Nu är det en riktigt bra tid att sluta installera krackade appar, för de som gör krackning är samma typ av människor som kan sätta onda koder i appen. Om du får några uppdateringsmeddelanden som kommer från en annan plats än Google Play, berätta för någon. Säga oss om du behöver. Ta reda på de människor som försöker förmedla dessa bedrifter och ge dem en stor dos av allmän skam och exponering. Kackerlackor hatar ljuset.
Detta kommer att passera som säkerhetsskräcken alltid gör, men en annan kommer att fylla i skorna. Det är djurets natur. Håll dig säker killar.
Har du lyssnat på veckans Android Podcast?
Varje vecka ger Android Central Podcast dig de senaste tekniska nyheterna, analyserna och hot-take, med bekanta medvärdar och specialgäster.
- Prenumerera i Pocket Cast: Audio
- Prenumerera på Spotify: Audio
- Prenumerera i iTunes: Audio
Vi kan tjäna en provision för inköp med våra länkar. Läs mer.
Det här är de bästa trådlösa öronsnäckorna du kan köpa till varje pris!
De bästa trådlösa öronsnäckorna är bekväma, låter fantastiskt, kostar inte för mycket och sitter lätt i fickan.
Allt du behöver veta om PS5: Släppdatum, pris och mer.
Sony har officiellt bekräftat att de arbetar på PlayStation 5. Här är allt vi vet om det hittills.
Nokia lanserar två nya Android One-telefoner under 200 dollar.
Nokia 2.4 och Nokia 3.4 är de senaste tillskotten till HMD Globals budget smartphone-sortiment. Eftersom de båda är Android One-enheter får de garanterat två stora OS-uppdateringar och regelbundna säkerhetsuppdateringar i upp till tre år.
Säkra ditt hem med dessa SmartThings dörrklockor och lås.
En av de bästa sakerna med SmartThings är att du kan använda en massa andra enheter från tredje part på ditt system, dörrklockor och lås ingår. Eftersom de alla i huvudsak delar samma SmartThings-stöd har vi fokuserat på vilka enheter som har de bästa specifikationerna och knep för att motivera att de läggs till i din SmartThings-arsenal.