Memahami rasa takut keselamatan utama android 'master key'

Tidak ada spin, tiada bullshit, hanya jelas cakap mudah tentang apa yang sedang berlaku pada masa ini

Beberapa perbualan sebenar mengenai eksploit ini yang diperlukan oleh pasukan keselamatan Bluebox diperlukan. Perkara pertama yang diketahui ialah anda mungkin terjejas. Ia adalah eksploit yang berfungsi pada setiap peranti yang tidak ditambal sejak Android 1.6. Jika anda telah berakar dan ROM'd telefon anda, anda boleh bebas mengabaikan semua ini. Tak satu pun dari ini adalah untuk anda, kerana terdapat pelbagai kebimbangan keselamatan yang datang dengan ROM akar dan adat untuk anda bimbang.

Jika anda tidak mempunyai kotak kebenaran "Tidak Diketahui" yang terkenal di dalam tetapan anda, ini tidak bermakna apa-apa untuk anda. Menjalankan, dan berasa bebas untuk menjadi orang yang sombong dan sombong sendiri - anda berhak untuk menghindari sideloading sepanjang masa sekiranya sesuatu seperti ini boleh berlaku. Jika anda tidak tahu apa maksudnya, tanya seseorang.

Bagi yang selebihnya, baca masa rehat.

Lagi: Perkhidmatan Berita IDG.

Apa itu?

Semua apl pada Android anda ditandatangani dengan kunci kriptografi. Apabila tiba masanya untuk mengemas kini aplikasi itu, versi baru mesti mempunyai tandatangan digital yang sama dengan yang lama atau ia tidak akan menulis ganti. Anda tidak boleh mengemas kini, dengan kata lain. Tiada pengecualian, dan pemaju yang kehilangan kunci tandatangan mereka harus membuat aplikasi baru yang perlu dimuat turun sekali lagi. Ini bermakna bermula dari sifar. Semua muat turun baru, semua ulasan dan penarafan baharu. Ia bukan perkara remeh.

Aplikasi sistem - yang telah dipasang pada telefon anda dari HTC atau Samsung atau Google - juga mempunyai kunci. Apl ini sering mempunyai akses pentadbir lengkap kepada semua di telefon anda, kerana ia adalah aplikasi yang dipercayai dari pengilang. Tetapi mereka masih hanya aplikasi.

Masih mengikut saya?

Apa yang kita sedang bincangkan sekarang, apa yang Bluebox bercakap tentang, adalah kaedah untuk merobek aplikasi Android dan mengubah kod tanpa mengganggu kunci kriptografi. Kami bersorak apabila penggodam mendapat penggera yang terkunci, dan ini adalah sejenis eksploit yang sama. Apabila anda mengunci sesuatu, orang lain akan mencari jalan jika mereka mencuba cukup keras. Dan apabila platform anda adalah yang paling popular di planet ini, orang ramai berusaha keras.

Jadi, seseorang boleh mengambil aplikasi sistem dari telefon. Cuma tarik keluar dengan betul. Menggunakan eksploit ini, mereka boleh mengeditnya untuk melakukan perkara yang jahat - berikannya nombor versi baru, dan pek kembali bersama sambil mengekalkan kunci tandatangan yang sama. Anda kemudiannya berpotensi memasang aplikasi ini dengan betul melebihkan salinan sedia ada anda, dan kini anda mempunyai aplikasi yang direka untuk melakukan perkara-perkara buruk dan mempunyai akses lengkap ke seluruh sistem anda. Sepanjang masa, aplikasinya akan kelihatan dan berkelakuan normal - anda tidak akan pernah tahu sesuatu yang mencurigakan sedang berlaku.

Yikes.

Apa yang dilakukan?

Orang-orang di Bluebox memberitahu keseluruhan Perikatan Open Handset tentang perkara ini pada bulan Februari. Google dan OEM bertanggungjawab untuk menampal perkara untuk mengelakkannya. Samsung melakukan bahagiannya dengan Galaxy S4, tetapi setiap telefon lain yang mereka jual terdedah. HTC dan One tidak memotong, jadi semua telefon HTC terdedah. Malah, setiap telefon kecuali versi Samsung Touchwiz Galaxy S4 terdedah.

Google belum lagi memperbaharui Android untuk menyelesaikan masalah ini. Saya bayangkan mereka bekerja keras mengenainya - lihat isu Chainfire telah melalui rooting Android 4.3. Tetapi Google tidak duduk dengan tenang dan mengabaikannya. Kedai Google Play telah "ditambal" supaya tiada aplikasi tamparan boleh dimuat naik ke pelayan Google. Ini bermakna mana-mana aplikasi yang anda muat turun dari Google Play adalah bersih - sekurang-kurangnya di mana eksploit khusus ini berkenaan. Tetapi tempat seperti Amazon, Slide Me, dan sudah tentu semua forum APK retak di luar sana terbuka lebar dan setiap aplikasi boleh mempunyai JuJu yang buruk di dalamnya.

Jadi ini adalah perjanjian yang sangat besar?

Ya, ia sangat besar. Dan pada masa yang sama, tidak, sebenarnya tidak.

Google akan menambal cara mengemas kini aplikasi Android atau cara mereka ditandatangani. Dalam permainan kucing dan tikus ini, ini adalah kejadian biasa. Google melepaskan perisian, penggodam (baik jenis yang baik dan jenis yang buruk) cuba mengeksploitnya, dan ketika mereka melakukan Google mengubah kode itu. Itulah cara perisian berfungsi, dan perkara semacam ini harus dijangkakan apabila anda mempunyai cukup orang pintar yang cuba memecah masuk.

Sebaliknya, telefon yang anda ada sekarang mungkin tidak pernah melihat kemas kini untuk menetapkan ini. Neraka, Samsung mengambil hampir setahun untuk memasang pelayar terhadap eksploit yang boleh memadamkan semua data pengguna anda pada beberapa telefonnya. Jika anda mempunyai telefon yang anda harapkan akan dikemas kini kepada Android 4.3, anda mungkin akan ditambal. Sekiranya tidak, ia adalah tekaan sesiapa sahaja. Itu buruk - sangat buruk. Saya tidak cuba menyerang orang yang membuat telefon kita, tetapi kebenaran adalah kebenaran.

Apa yang boleh saya lakukan?

• Jangan muat turun sebarang aplikasi di luar Google Play.
• Jangan muat turun sebarang aplikasi di luar Google Play.
• Jangan muat turun sebarang aplikasi di luar Google Play.
• Malah, teruskan dan matikan kebenaran Sumber Unknown jika anda suka. Saya telah lakukan. Apa-apa sahaja yang meninggalkan anda terdedah. Sesetengah aplikasi "Anti-Virus" akan memeriksa sama ada anda mempunyai sumber yang tidak diketahui yang diaktifkan jika anda tidak pasti. Masuk ke forum dan cari yang mana satu kata semua adalah yang terbaik jika anda perlu.
• Ekspresikan ketidakpuasan anda dengan tidak mendapatkan kemas kini keselamatan penting untuk telefon anda. Terutama jika anda masih dalam kontrak dua tahun (atau tiga tahun - hello Canada!).
• Root telefon anda, dan pasang ROM yang mempunyai semacam pembaikan - yang popular mungkin akan berlaku tidak lama lagi.

Jadi jangan panik. Tetapi menjadi proaktif dan gunakan beberapa akal sehat. Sekarang adalah masa yang sangat baik untuk berhenti memasang aplikasi retak, kerana orang yang melakukan retak adalah jenis orang yang sama yang boleh memasukkan kod jahat ke dalam aplikasi. Jika anda mendapat notis kemas kini yang datang dari tempat selain Google Play, beritahu seseorang. Beritahu kami jika anda perlu. Perhatikan orang-orang yang cuba melepaskan eksploitasi ini dan beri mereka denyutan berat dan pendedahan awam. Lipas itu membenci cahaya.

Ini akan berlalu seperti ketakutan keselamatan yang selalu dilakukan, tetapi yang lain akan masuk untuk mengisi kasutnya. Itulah sifat binatang itu. Selamatkan lelaki.