מה אם האקרים יכלו לקחת אפליקציה לגיטימית קיימת או לעדכן עם חתימה דיגיטלית חוקית, ו שנה אותו כדי להשתמש בו כטרויאני זדוני כדי לגשת לכל דבר בטלפון אנדרואיד שלך או לוּחַ? כאשר חוקרים מסטארט-אפ אבטחה נייד התקשרו Bluebox Security נחשפה שהם זיהו בדיוק פגיעות כזו שהשפיעה על "99 אחוז" ממכשירי אנדרואיד, זה עלה לכותרות טכנולוגיות ברחבי האינטרנט. אבל האם אתה צריך להיות מודאג?
מה הבעיה?
"הפגיעות הזו, לפחות מאז יציאת אנדרואיד 1.6 (שם קוד: "סופגנייה"), עלולה להשפיע על כל טלפון אנדרואיד ששוחרר ב-4 השנים האחרונות", הסביר ג'ף פוריסטל, CTO של Bluebox, ב פוסט בבלוג החברה. הוא המשיך וציין כי "...האקר יכול לנצל את הפגיעות לכל דבר, החל מגניבת נתונים ועד ליצירת רשת בוט לנייד."
סרטונים מומלצים
קבצי APK, או חבילת יישומי אנדרואיד, נמצאים בסיכון מכיוון שפגם זה מאפשר להאקרים לשנות אפליקציה לגיטימית או לעדכן, אך לשמור על החתימה הדיגיטלית שמאמתת אותה כמאובטחת. הם יכולים ליצור אפליקציה מזויפת כדי לגנוב את הסיסמאות שלך ולהשתמש בחתימה דיגיטלית לגיטימית, כך שטלפון האנדרואיד שלך יחשוב שהיא מיוצרת על ידי חברה כמו סמסונג, HTC, או אפילו גוגל עצמה. מכיוון שיצרני מכשירים ושותפים מהימנים מייצרים אפליקציות עם גישה מועדפת למערכת האנדרואיד שלך, הסיכון שמשהו זדוני יעבור לטלפון שלך הוא חמור מאוד.
קָשׁוּר
- 5 דברים שנשמח לראות ב-Google I/O 2023 (אבל כנראה שלא)
- תירגע, כלל ה-USB-C המפחיד של האיחוד האירופי לא ישלול ממך את הטבות הטעינה המהירה
- האפליקציות הטובות ביותר לחסימת פרסומות עבור אנדרואיד בשנת 2022
מה עושים בנידון?
Bluebox חשפה את באג האבטחה של אנדרואיד 8219321 לגוגל בפברואר 2013. גוגל כבר עדכנה את חנות Play כך שקיימים בדיקות לחסימת אפליקציות זדוניות המשתמשות בניצול זה. גוגל שיתפה את הבאג עם שותפי החומרה שלה ב-Open Handset Alliance וכמה יצרנים כבר פרסמו תיקונים לתיקון בעיית אבטחה זו.
כיצד אוכל להימנע מתוכנות זדוניות?
אם אתה מקפיד לעולם לא להשאיר את הטלפון שלך ללא השגחה ואתה מתקין רק אפליקציות ועדכונים מ Google Play אז אין סיבה אמיתית לדאגה כי אתה לא ממש בסיכון מזה לְנַצֵל. אם אתה רוצה לוודא שאתה לא מושפע, היכנס הגדרות > אבטחה וודא שהתיבה אפשר התקנה ממקורות לא ידועים אינה מסומנת.
דנו ב- יסודות האבטחה של אפליקציית אנדרואיד לפני והם עדיין חלים. פושעים אינם יכולים כעת להשתמש בחנות Google Play כדי להפיץ תוכנות זדוניות באמצעות ניצול זה, כך שכעת בטוח להוריד שם אפליקציות. מה שאתה צריך להימנע הוא התקנת אפליקציות או עדכונים ממקורות אחרים - אפילו מחנויות האפליקציות של סמסונג או אמזון - לפחות, לעת עתה. חנויות אפליקציות אנדרואיד של צד שלישי וקישורים ישירים באתרי אינטרנט הם שיטות המסירה הסבירות ביותר, אך תוכנות זדוניות יכול להגיע באמצעות דואר אלקטרוני, או אפילו להעביר למכשיר שלך באמצעות כבל USB (אם אתה מחבר את הטלפון שלך למכשיר שלך מַחשֵׁב).
"הבעיה העיקרית בהפצת תוכנות זדוניות באנדרואיד היא לגרום למשתמש להוריד ולהתקין משהו ממקורות לא מאובטחים (שווקים מסוימים של צד שלישי או ישירות מהאינטרנט)", מאייק מורגנשטרן, ממכון האבטחה העצמאי, AV-Test, הסביר לנו. "הפגיעות המדווחת אינה 'מסייעת' למחברי תוכנות זדוניות כאן בשום צורה. עדיין יהיה להם קשה להשיג את היצירות שלהם בחנות Google Play וגם אם יצליחו, האפליקציות שלהם לא יופיעו תחת החשבון של המחבר המקורי, כמובן. [לדוגמה,] אם הם יוצרים גרסה טרויאנית של ציפורים כועסות, זה יהיה רשום תחת שם מחברי תוכנות זדוניות ולא תחת Rovio. כך שמשתמשים בקושי יתקלו באפליקציות הטרויאניות הללו. אם משתמשים מורידים רק אפליקציות מחנות Google Play הם צריכים להיות בטוחים."
אז אני יכול להירגע?
הבעיה עם אנדרואיד היא שגוגל יכולה לנקוט בפעולה כדי לתקן פגמים וניצול פריצה, אבל היא לא יכולה להוציא עדכון מערכת רחב.
"הבעיה העיקרית היא מדיניות העדכונים של יצרנים רבים", אמר לנו מורגנשטרן. "מכשירים ישנים לא מקבלים יותר עדכונים (כך שהמכשירים האלה יישארו פגיעים) ואפילו עדכונים למכשירים חדשים יכולים לקחת חודשים."
זה תלוי ביצרנים בודדים וספקי סלולר (AT&T, Verizon, T-Mobile, Sprint וכו') לדחוף עדכונים למכשירים. זה נפוץ שמכשירי אנדרואיד ישנים יותר נשארים מאחור. אם יש לך מכשיר ישן יותר שנמצא בסיכון ואתה לא מרוצה להיצמד ל-Google Play, אתה עלול להיחשף עוד זמן מה.
עדכון 7-9-2013: עצה מ-Bluebox
לאחר פרסום מאמר זה, Bluebox יצרה איתנו קשר. הם קוראים למשתמשים שהדרך הטובה ביותר להפחית את הסיכון לפגיעות זו היא "לבדוק עם יצרן המכשיר שלך או עם הספק הסלולרי שלך לגבי דגם מכשיר האנדרואיד הספציפי שלך וגרסת מערכת ההפעלה כדי לראות אם עדכון/תיקון אחרונים נעשו זמין." הם גם מציינים שייתכן שתצטרך לבדוק את הערות השחרור כדי לאשר שתיקון כלול ב- עדכון. אם אינך מוצא אחד עבור המכשיר שלך, הם מציעים לעת עתה להימנע מהתקנת כל דבר מחוץ ל-Google Play.
ה-CTO של Bluebox, ג'ף פוריסטל, מתכנן לפרסם פרטים טכניים על הנושא בהרצאתו ב כובע שחור ארה"ב 2013 בסוף החודש. נותר לראות כיצד יגיבו יצרניות מכשירי האנדרואיד הגדולות. נעדכן אותך.
המאמר פורסם במקור ב-7-8-2013.
המלצות עורכים
- אל תחמיצו את ההזדמנות שלכם להשיג את הטאבלט הזה של Lenovo ב-120 דולר
- לא תאמינו כמה זול האייפד הזה, הודות לסייבר מאנדיי
- גוגל רוצה שתדע שאפליקציות אנדרואיד כבר לא מיועדות רק לטלפונים
- הדבר הטוב ביותר באנדרואיד 13 הוא לא תכונה או הגדרה חדשה - זה משהו אחר
- הטעינה האלחוטית לא עובדת ב-Pixel שלך עם אנדרואיד 13? אתה לא לבד
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
