Mis siis, kui häkkerid saaksid võtta olemasoleva seadusliku rakenduse või värskenduse kehtiva digitaalallkirjaga ja muutke seda, et kasutada seda pahatahtliku troojalasena, et pääseda juurde kõigele oma Android-telefonis või tahvelarvuti? Kui mobiiliturbe idufirma teadlased helistasid Bluebox Security avalikustas et nad olid tuvastanud just sellise haavatavuse, mis mõjutas "99 protsenti" Android-seadmetest, jõudis see kogu veebis tehnilistele pealkirjadele. Aga kas peaksite muretsema?
Milles on probleem?
"See haavatavus, umbes alates Android 1.6 (koodnimi: "Donut") väljalaskmisest, võib mõjutada kõiki viimase nelja aasta jooksul välja antud Android-telefone," selgitas Blueboxi tehnikajuht Jeff Forristal. postitus ettevõtte ajaveebis. Ta märkis, et "...häkker võib haavatavust ära kasutada kõigeks alates andmete vargusest kuni mobiilse botneti loomiseni."
Soovitatavad videod
APK või Androidi rakenduspaketi failid on ohus, kuna see viga võimaldab häkkeritel muuta seaduslikku rakendust või värskendust, kuid säilitada digitaalallkirja, mis kinnitab selle turvalisuse. Nad võivad luua võltsrakenduse, et varastada teie paroole ja kasutada seaduslikku digitaalallkirja, nii et teie Android-telefon arvab, et selle on teinud selline ettevõte nagu Samsung, HTC või isegi Google ise. Kuna seadmete tootjad ja usaldusväärsed partnerid toodavad rakendusi, millel on privilegeeritud juurdepääs teie Android-süsteemile, on oht, et midagi pahatahtlikku teie telefoni satub, väga tõsine.
Seotud
- 5 asja, mida me tahaksime Google I/O 2023 raames näha (aga tõenäoliselt ei näe)
- Lõdvestuge, ELi hirmutav USB-C reegel ei röövi teilt kiirlaadimise eeliseid
- Parimad reklaame blokeerivad rakendused Androidi jaoks 2022. aastal
Mida sellega seoses tehakse?
Bluebox avaldas 2013. aasta veebruaris Google'ile Androidi turvavea 8219321. Google on Play poodi juba värskendanud, nii et seda ärakasutamist kasutavate pahatahtlike rakenduste blokeerimiseks on olemas kontrollid. Google jagas viga oma riistvarapartneritega Open Handset Alliance'is ja mõned tootjad on selle turvaprobleemi lahendamiseks juba paigad välja andnud.
Kuidas ma saan pahavara vältida?
Kui olete ettevaatlik, et te ei jätaks kunagi oma telefoni järelevalveta ja installite ainult rakendused ja värskendused saidilt Google Play, siis pole muretsemiseks põhjust, sest see ei ohusta teid tegelikult ära kasutada. Kui soovite veenduda, et teid see ei mõjuta, minge sisse Seaded > Turvalisus ja veenduge, et ruut Luba installimine tundmatutest allikatest on märkimata.
Oleme arutanud Androidi rakenduse turvalisuse põhitõed enne ja kehtivad siiani. Kurjategijad ei saa nüüd kasutada Google Play poodi pahavara levitamiseks seda ärakasutamist kasutades, nii et rakendusi on nüüd turvaline alla laadida. Peaksite vältima rakenduste või värskenduste installimist muudest allikatest – isegi Samsungi või Amazoni rakenduste poodidest – vähemalt praegu. Kolmandate osapoolte Androidi rakenduste poed ja otselingid veebisaitidel on kõige tõenäolisemad edastamisviisid, kuid pahavara võib jõuda e-posti teel või isegi USB-kaabli kaudu teie seadmesse üle kanda (kui ühendate telefoni oma arvuti).
"Põhiprobleem Androidis pahavara levitamisel on panna kasutaja midagi alla laadima ja installima ebaturvalistest allikatest (teatud kolmandate osapoolte turgudel või otse veebist),” Maik Morgenstern sõltumatust turvainstituudist, AV-Test, selgitas meile. Teatatud haavatavus ei aita siin pahavara autoreid mingil moel. Neil oleks endiselt raske oma loomingut Google Play poodi hankida ja isegi kui see õnnestuks, ei oleks nende rakendusi loomulikult algse autori konto all loetletud. [Näiteks] kui nad loovad troojastatud versiooni Vihased linnud, oleks see loetletud pahavara autorite nime all, mitte Rovio all. Nii et kasutajad vaevalt komistaksid nende troojastatud rakenduste otsa. Kui kasutajad laadivad rakendusi alla ainult Google Play poest, peaksid nad olema turvalised.
Niisiis, kas ma saan lõõgastuda?
Androidi probleem seisneb selles, et Google saab võtta meetmeid, et parandada vigu ja häkkimise ärakasutamist, kuid see ei saa väljastada kogu süsteemi hõlmavat värskendust.
"Põhiprobleem on paljude tootjate värskenduspoliitika," ütles Morgenstern. "Vanad seadmed ei saa enam värskendusi (nii et need seadmed jäävad haavatavaks) ja isegi uute seadmete värskendused võivad kesta kuid."
Üksikute tootjate ja mobiilioperaatorite (AT&T, Verizon, T-Mobile, Sprint jne) ülesanne on värskenduste edastamine seadmetesse. On tavaline, et vanemad Android-seadmed jäetakse maha. Kui teil on vanem seade, mis on ohus ja te ei ole rahul Google Playga, võite mõne aja pärast kokku puutuda.
Värskendus 7.9.2013: Blueboxi nõuanded
Pärast selle artikli avaldamist võttis Bluebox meiega ühendust. Nad kutsuvad kasutajaid tungivalt üles, et parim viis selle haavatavuse riski vähendamiseks on: „Kontrollige oma seadme tootjalt või mobiilioperaatorilt oma konkreetse Android-seadme mudeli kohta. ja OS-i versiooni, et näha, kas värskendus/parandus on kättesaadavaks tehtud. Samuti juhivad nad tähelepanu sellele, et peate võib-olla kontrollima väljalaskemärkmeid, et kinnitada, kas parandus on lisatud värskendada. Kui te ei leia seda oma seadme jaoks, soovitavad nad praegu vältida millegi installimist väljastpoolt Google Playd.
Blueboxi tehnoloogiadirektor Jeff Forristal kavatseb oma kõnes avaldada probleemi tehnilised üksikasjad Black Hat USA 2013 kuu lõpus. Jääb üle oodata, kuidas suuremad Android-seadmete müüjad reageerivad. Hoiame teid kursis.
Artikkel avaldati algselt 7.8.2013.
Toimetajate soovitused
- Ärge jätke kasutamata võimalust hankida see Lenovo Android-tahvelarvuti hinnaga 120 dollarit
- Te ei usu, kui odav see iPad tänu küberesmaspäevale on
- Google soovib, et te teaksite, et Androidi rakendused pole enam mõeldud ainult telefonidele
- Android 13 parim asi ei ole uus funktsioon või seade – see on midagi muud
- Kas juhtmeta laadimine ei tööta Android 13-ga Pixelis? Sa ei ole üksi
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.