Makale

En son Android 'Ana Anahtar' güvenlik korkusunu anlamlandırma

protection click fraud

Güvenlik

Döndürme yok, saçmalık yok, sadece bu sefer neler olduğu hakkında net ve basit bir konuşma

Bluebox güvenlik ekibinin keşfettiği bu istismar hakkında bazı gerçek konuşmalara ihtiyaç var. Bilmeniz gereken ilk şey, muhtemelen etkilendiğinizdir. Bu, Android 1.6'dan beri yama uygulanmayan her cihazda çalışan bir istismar. Telefonunuzu köklendirdiyseniz ve ROM'ladıysanız, tüm bunları özgürce görmezden gelebilirsiniz. Bunların hiçbiri sizin için önemli değil, çünkü endişelenmeniz için kök ve özel ROM'larla birlikte gelen tamamen farklı bir güvenlik endişesi seti var.

Ayarlarınızda kötü şöhretli "Bilinmeyen Kaynaklar" izin kutusunu işaretlemediyseniz, bu sizin için hiçbir şey ifade etmez. Devam edin ve biraz kendini beğenmiş ve kendini beğenmiş olmaktan çekinmeyin - bunu kaçınmak için hak ediyorsunuz Yan yükleme Bunca zaman böyle bir şey olması durumunda. Bunun ne anlama geldiğini bilmiyorsan, birisine sor.

Verizon, Pixel 4a'yı yeni Sınırsız hatlarda ayda sadece 10 ABD doları karşılığında sunuyor

Geri kalanımız için aradan sonra okuyun.

Daha: IDG Haber Servisi.

Bunu anlamama yardımcı olan tüm Android Central Ambassador ekibine özel teşekkürler!

Bu ne?

Android'inizdeki tüm uygulamalar bir kriptografik anahtarla imzalanmıştır. Bu uygulamayı güncelleme zamanı geldiğinde, yeni sürümün eski ile aynı dijital imzaya sahip olması gerekir, aksi takdirde üzerine yazılmaz. Başka bir deyişle, güncelleyemezsiniz. İstisna yoktur ve imzalama anahtarını kaybeden geliştiriciler, en baştan indirmemiz gereken yepyeni bir uygulama oluşturmak zorundadır. Bu sıfırdan başlamak demektir. Tüm yeni indirmeler, tüm yeni incelemeler ve derecelendirmeler. Bu önemsiz bir mesele değil.

HTC veya Samsung veya Google'dan telefonunuza yüklenen sistem uygulamalarının da bir anahtarı vardır. Bu uygulamalar, üreticinin güvenilir uygulamaları olduğundan, genellikle telefonunuzdaki her şeye tam yönetici erişimine sahiptir. Ama yine de sadece uygulamalar.

Hala beni takip ediyor musun?

Şu anda bahsettiğimiz şey, Bluebox'un bahsettiği şey, bir Android uygulamasını yırtma ve şifreleme anahtarını bozmadan kodu değiştirme yöntemi. Bilgisayar korsanları kilitli önyükleyicilerin etrafından dolandıklarında neşeleniyoruz ve bu aynı türden bir istismar. Bir şeyi kilitlediğinizde, diğerleri yeterince uğraşırsa içeri girmenin bir yolunu bulacaktır. Platformunuz gezegendeki en popüler olduğunda, insanlar çok çabalar.

Böylece birisi telefondan sistem uygulaması alabilir. Sadece dışarı doğru çekin. Bu istismarı kullanarak, kötü şeyler yapmak için onu düzenleyebilirler - ona yeni bir sürüm numarası verebilir ve aynı, geçerli imzalama anahtarını korurken tekrar bir araya getirebilirler. Daha sonra bu uygulamayı potansiyel olarak mevcut kopyanızın üzerine yükleyebilirsiniz ve artık kötü şeyler yapmak için tasarlanmış bir uygulamanız var ve tüm sisteminize tam erişime sahip. Uygulama her zaman normal bir şekilde görünecek ve davranacaktır - bir sorun olup olmadığını asla bilemezsiniz.

Eyvah.

Bununla ilgili ne yapılıyor?

Bluebox'dakiler Şubat ayında tüm Open Handset Alliance'a bunu anlattılar. Google ve OEM'ler, bunları önlemek için yama uygulamaktan sorumludur. Samsung, Galaxy S4 ile üzerine düşeni yaptı, ancak sattıkları diğer tüm telefonlar savunmasız. HTC ve One işi kesmedi, bu nedenle HTC’nin tüm telefonları savunmasız durumda. Aslında, Samsung Touchwiz sürümü Galaxy S4 dışındaki her telefon savunmasızdır.

Google, bu sorunu düzeltmek için Android'i henüz güncellemedi. Bunun üzerinde çok çalıştıklarını hayal ediyorum - Chainfire'ın Android 4.3'ü köklendirmekten geçtiği sorunları görün. Ancak Google da boş durup bunu görmezden gelmedi. Google Play mağazasına, kurcalanmış hiçbir uygulamanın Google'ın sunucularına yüklenememesi için "yama" uygulanmıştır. Bu, Google Play'den indirdiğiniz herhangi bir uygulamanın temiz olduğu anlamına gelir - en azından bu özel istismar söz konusu olduğunda. Ancak Amazon, Slide Me gibi yerler ve tabii ki dışarıdaki tüm bu kırık APK forumları tamamen açık ve her uygulamanın içinde kötü JuJu olabilir.

Yani bu gerçekten önemli mi?

Evet bu çok önemli. Ve aynı zamanda, hayır, gerçekten değil.

Google, Android güncelleme uygulamalarına veya imzalanma şekillerine yama uygulayacaktır. Bu kedi-fare oyununda bu normal bir durumdur. Google yazılımı yayınlar, bilgisayar korsanları (hem iyi hem de kötü tür) bundan yararlanmaya çalışır ve bunu yaptıklarında Google kodu değiştirir. Yazılım böyle çalışır ve bu tür bir şey, içeri girmeye çalışan yeterince zeki insanınız olduğunda beklenmelidir.

Öte yandan, şu anda sahip olduğunuz telefon bunu düzeltmek için bir güncelleme görmeyebilir. Cehennem, Samsung'un tarayıcıyı yalnızca tüm kullanıcı verilerinizi silebilecek bir istismara karşı yaması neredeyse bir yıl sürdü. biraz telefonlarından. Android 4.3'e güncellenmesini beklediğiniz bir telefonunuz varsa, muhtemelen yamalı olacaksınız. Değilse, kimsenin tahmini değil. Bu kötü - çok kötü. Telefonlarımızı yapanlara hakaret etmeye çalışmıyorum, ama gerçek gerçek.

Ne yapabilirim?

Savunmasız
  • Google Play dışında herhangi bir uygulama indirmeyin.
  • Google Play dışındaki herhangi bir uygulamayı indirmeyin.
  • Google Play dışında herhangi bir uygulama indirmeyin.
  • Aslında, devam edin ve isterseniz Bilinmeyen Kaynaklar iznini kapatın. Yaptım. Başka herhangi bir şey sizi savunmasız bırakır. Emin değilseniz bazı "Anti-Virüs" uygulamaları bilinmeyen kaynakların etkin olup olmadığını kontrol edecektir. Forumlara girin ve gerekirse, herkesin hangisinin en iyi olduğunu söylediğini öğrenin.
  • Telefonunuz için temel güvenlik güncellemelerini almama konusundaki memnuniyetsizliğinizi ifade edin. Özellikle de hala o iki yıllık (veya üç yıllık - merhaba Kanada!) Sözleşmeyi kullanıyorsanız.
  • Telefonunuzu köklendirin ve bir çeşit düzeltmeye sahip bir ROM yükleyin - popüler olanlar muhtemelen çok yakında olacaktır.

Bu yüzden panik yapmayın. Ancak proaktif olun ve biraz sağduyulu olun. Şimdi, crackli uygulamaları yüklemeyi bırakmak için gerçekten iyi bir zaman, çünkü kırma işlemini gerçekleştiren kişiler, uygulamaya kötü kod ekleyebilecek türden kişilerdir. Google Play dışında bir yerden gelen herhangi bir güncelleme bildirimi alırsanız birisine söyleyin. Söylemek bize Gerekirse. Bu istismarları başkalarına aktarmaya çalışan insanları bulun ve onlara ağır dozda toplum içinde utanç ve ifşa etme şansı verin. Hamamböcekleri ışıktan nefret eder.

Bu, güvenlik korkusunun her zaman yaptığı gibi geçecek, ancak yerine bir başkası devreye girecek. Canavarın doğası budur. Güvende kalın çocuklar.

Bu haftanın Android Central Podcast'ini dinlediniz mi?

Android Central

Her hafta, Android Central Podcast size en son teknoloji haberlerini, analizleri ve önemli konuları tanıdık yardımcı sunucular ve özel konuklarla birlikte getiriyor.

  • Cep Yayınlarında Abone Ol: Ses
  • Spotify'da abone ol: Ses
  • İTunes'da abone ol: Ses

Bağlantılarımızı kullanarak satın alımlardan komisyon kazanabiliriz. Daha fazla bilgi edin.

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!
Kordonu kesmenin zamanı geldi!

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!

En iyi kablosuz kulaklıklar rahattır, harika ses çıkarır, çok pahalı değildir ve cebe kolayca sığar.

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası
Gelecek nesil

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası.

Sony, PlayStation 5 üzerinde çalıştığını resmen onayladı. Şimdiye kadar bildiğimiz her şey burada.

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü
Yeni Nokias

Nokia, 200 doların altında iki yeni bütçe Android One telefonunu piyasaya sürdü.

Nokia 2.4 ve Nokia 3.4, HMD Global'in bütçeye uygun akıllı telefon serisinin en son eklemeleridir. Her ikisi de Android One cihazı olduklarından, üç yıla kadar iki büyük işletim sistemi güncellemesi ve düzenli güvenlik güncellemeleri almaları garanti edilir.

Evinizi bu SmartThings kapı zilleri ve kilitleriyle koruyun
Ding Dong - kapılar kilitli

Bu SmartThings kapı zilleri ve kilitleriyle evinizi koruyun.

SmartThings ile ilgili en iyi şeylerden biri, sisteminizde, kapı zilleri ve kilitler dahil bir dizi başka üçüncü taraf cihazı kullanabilmenizdir. Hepsi aynı SmartThings desteğini paylaştığından, hangi cihazların SmartThings cephaneliğinize eklenmesini haklı çıkarmak için en iyi özelliklere ve püf noktalarına sahip olduğuna odaklandık.

instagram story viewer