რა მოხდება, თუ ჰაკერებს შეეძლოთ აეღოთ არსებული ლეგიტიმური აპლიკაცია ან განაახლონ მოქმედი ციფრული ხელმოწერით და შეცვალეთ იგი, რათა გამოიყენოთ ის, როგორც მავნე ტროას, რომ მიიღოთ წვდომა ყველაფერზე თქვენს Android ტელეფონზე ან ტაბლეტი? როდესაც მობილური უსაფრთხოების სტარტაპის მკვლევარებმა დარეკეს გამოვლინდა Bluebox Security რომ მათ აღმოაჩინეს ზუსტად ისეთი დაუცველობა, რომელიც გავლენას ახდენდა Android მოწყობილობების „99 პროცენტზე“, ეს გახდა ტექნიკური სათაურები მთელს ინტერნეტში. მაგრამ უნდა ინერვიულო?
Რა არის პრობლემა?
„ამ დაუცველობამ, სულ მცირე, Android 1.6-ის გამოშვების შემდეგ (კოდური სახელი: „Donut“ ), შეიძლება გავლენა იქონიოს ნებისმიერ Android ტელეფონზე, რომელიც გამოვიდა ბოლო 4 წლის განმავლობაში“, განმარტა ჯეფ ფორისტალმა, Bluebox-ის CTO. განათავსეთ კომპანიის ბლოგზე. მან განაგრძო, რომ ”…ჰაკერს შეუძლია გამოიყენოს დაუცველობა ნებისმიერი რამისთვის, მონაცემთა ქურდობიდან მობილური ბოტნეტის შექმნამდე.”
რეკომენდებული ვიდეოები
APK, ან Android აპლიკაციის პაკეტი, ფაილები საფრთხეშია, რადგან ეს ხარვეზი საშუალებას აძლევს ჰაკერებს შეცვალონ ლეგიტიმური აპლიკაცია ან განახლება, მაგრამ შეინარჩუნონ ციფრული ხელმოწერა, რომელიც ადასტურებს მის უსაფრთხოებას. მათ შეუძლიათ შექმნან ყალბი აპლიკაცია, რომ მოიპარონ თქვენი პაროლები და გამოიყენონ ლეგიტიმური ციფრული ხელმოწერა, რათა თქვენი Android ტელეფონი იფიქროს, რომ ის დამზადებულია ისეთი კომპანიის მიერ, როგორიცაა Samsung, HTC ან თუნდაც თავად Google. იმის გამო, რომ მოწყობილობების მწარმოებლები და სანდო პარტნიორები აწარმოებენ აპებს თქვენს Android სისტემაზე პრივილეგირებული წვდომით, თქვენს ტელეფონზე რაიმე მავნე პიგგიბექიკის რისკი ძალიან სერიოზულია.
დაკავშირებული
- 5 რამ, რისი ნახვაც გვსურს Google I/O 2023-ზე (მაგრამ ალბათ არა)
- დამშვიდდით, ევროკავშირის საშინელი USB-C წესი არ მოგაკლებთ სწრაფი დატენვის სარგებელს
- საუკეთესო რეკლამის დაბლოკვის აპები Android-ისთვის 2022 წელს
რა კეთდება ამასთან დაკავშირებით?
Bluebox-მა Google-ს 2013 წლის თებერვალში გამოავლინა Android უსაფრთხოების ხარვეზი 8219321. Google-მა უკვე განაახლა Play Store, რათა დაბლოკოს ნებისმიერი მავნე აპი ამ ექსპლოიტის გამოყენებით. Google-მა გაუზიარა შეცდომა თავის აპარატურულ პარტნიორებს Open Handset Alliance-ში და ზოგიერთმა მწარმოებელმა უკვე გამოუშვა პატჩები უსაფრთხოების ამ პრობლემის მოსაგვარებლად.
როგორ ავიცილოთ თავიდან მავნე პროგრამები?
თუ ფრთხილად იყავით, არასოდეს დატოვოთ თქვენი ტელეფონი უყურადღებოდ და მხოლოდ აპებსა და განახლებებს დააინსტალირებთ მაშინ Google Play არ არსებობს შეშფოთების რეალური მიზეზი, რადგან თქვენ ნამდვილად არ ხართ ამის რისკის ქვეშ ექსპლუატაცია. თუ გსურთ დარწმუნდეთ, რომ თქვენ არ დაზარალდებით, შედით პარამეტრები > უსაფრთხოება და დარწმუნდით, რომ „უცნობი წყაროებიდან“ ინსტალაციის ნებართვა არ არის მონიშნული.
ჩვენ განვიხილეთ Android აპლიკაციის უსაფრთხოების საფუძვლები ადრე და ახლაც მიმართავენ. კრიმინალებს ახლა არ შეუძლიათ გამოიყენონ Google Play Store მავნე პროგრამების გასავრცელებლად ამ ექსპლოიტის გამოყენებით, ასე რომ, ახლა უსაფრთხოა იქ აპლიკაციების ჩამოტვირთვა. რაც თავიდან უნდა აიცილოთ არის აპების ან განახლებების დაყენება სხვა წყაროებიდან - თუნდაც Samsung-ის ან Amazon-ის აპლიკაციების მაღაზიებიდან - ყოველ შემთხვევაში, ჯერჯერობით. მესამე მხარის Android აპლიკაციების მაღაზიები და პირდაპირი ბმულები ვებსაიტებზე მიწოდების ყველაზე სავარაუდო მეთოდია, მაგრამ მავნე პროგრამა შეიძლება მივიდეს ელექტრონული ფოსტით, ან თუნდაც გადაიტანოს თქვენს მოწყობილობაზე USB კაბელის საშუალებით (თუ თქვენს ტელეფონს დაუკავშირებთ კომპიუტერი).
„Android-ზე მავნე პროგრამების გავრცელების მთავარი პრობლემა არის მომხმარებელმა ჩამოტვირთოს და დააინსტალიროს რაღაც დაუცველი წყაროებიდან. (გარკვეული მესამე მხარის ბაზრები ან უშუალოდ ინტერნეტიდან),” Maik Morgenstern, დამოუკიდებელი უსაფრთხოების ინსტიტუტიდან, AV-Test, გვიხსნა. „მოხსენებული დაუცველობა არანაირად არ „ეხმარება“ მავნე პროგრამის ავტორებს აქ. მათ მაინც გაუჭირდებათ თავიანთი შემოქმედების Google Play Store-ში მოხვედრა და წარმატების შემთხვევაშიც კი, მათი აპლიკაციები, რა თქმა უნდა, არ იქნება ჩამოთვლილი ორიგინალური ავტორის ანგარიშში. [მაგალითად,] თუ ისინი ქმნიან ტროიანიზებულ ვერსიას Ბრაზიანი ჩიტები, ის ჩამოთვლილი იქნება მავნე პროგრამის ავტორის სახელით და არა Rovio-ს ქვეშ. ასე რომ, მომხმარებლები ძნელად წააწყდებოდნენ ამ ტროიანიზებულ აპებს. თუ მომხმარებლები მხოლოდ Google Play Store-დან ჩამოტვირთავენ აპებს, ისინი უსაფრთხოდ უნდა იყვნენ.”
მაშ, შემიძლია დავისვენო?
Android-ის პრობლემა ის არის, რომ Google-ს შეუძლია მიიღოს ზომები ხარვეზებისა და ჰაკერული ექსპლოიტების გამოსასწორებლად, მაგრამ მას არ შეუძლია სისტემის ფართო განახლების გამოქვეყნება.
„მთავარი პრობლემა არის მრავალი მწარმოებლის განახლების პოლიტიკა“, გვითხრა მორგენშტერნმა. „ძველი მოწყობილობები აღარ იღებენ განახლებებს (ასე რომ ეს მოწყობილობები დაუცველი დარჩება) და ახალი მოწყობილობების განახლებებსაც კი შეიძლება თვეები დასჭირდეს“.
ინდივიდუალური მწარმოებლებისა და მობილური ოპერატორების (AT&T, Verizon, T-Mobile, Sprint და ა.შ.) გადასაწყვეტია განახლებების გადატანა მოწყობილობებზე. ხშირია ძველი Android მოწყობილობების დატოვება. თუ თქვენ გაქვთ ძველი მოწყობილობა, რომელიც რისკის ქვეშაა და არ ხართ კმაყოფილი Google Play-ზე მიდგომით, შესაძლოა, გარკვეული პერიოდის განმავლობაში დარჩეთ გამოვლენილი.
განახლება 7-9-2013: რჩევა Bluebox-ისგან
ამ სტატიის გამოქვეყნების შემდეგ Bluebox დაგვიკავშირდა. ისინი მოუწოდებენ მომხმარებლებს, რომ საუკეთესო გზა ამ დაუცველობის რისკის შესამცირებლად არის „შეამოწმოთ თქვენი მოწყობილობის მწარმოებელთან ან თქვენს მობილურ ოპერატორთან თქვენი კონკრეტული Android მოწყობილობის მოდელის შესახებ. და OS-ის ვერსია, რათა ნახოთ, ხელმისაწვდომია თუ არა უახლესი განახლება/შესწორება.” ისინი ასევე აღნიშნავენ, რომ შეიძლება დაგჭირდეთ გამოშვების შენიშვნების შემოწმება დადასტურებისთვის, რომ შესწორება შედის მასში განახლება. თუ ვერ პოულობთ ერთს თქვენი მოწყობილობისთვის, ისინი გირჩევენ, რომ ამ დროისთვის მოერიდოთ რაიმეს დაინსტალირებას Google Play-დან.
Bluebox-ის CTO, ჯეფ ფორისტალი, გეგმავს ამ საკითხის ტექნიკური დეტალების გამოქვეყნებას თავის გამოსვლაზე შავი ქუდი აშშ 2013 წელი თვის ბოლოს. გასარკვევია, როგორ რეაგირებენ Android მოწყობილობების მთავარი გამყიდველები. ჩვენ შეგატყობინებთ.
სტატია თავდაპირველად გამოქვეყნდა 7-8-2013.
რედაქტორების რეკომენდაციები
- არ გამოტოვოთ თქვენი შანსი, მიიღოთ ეს Lenovo Android ტაბლეტი 120 დოლარად
- თქვენ არ დაიჯერებთ, რამდენად იაფია ეს iPad, კიბერ ორშაბათის წყალობით
- Google-ს სურს, იცოდეთ, რომ Android-ის აპები მხოლოდ ტელეფონებისთვის აღარ არის განკუთვნილი
- Android 13-ის საუკეთესო რამ არ არის ახალი ფუნქცია ან პარამეტრი – ეს სხვა რამეა
- უსადენო დატენვა არ მუშაობს თქვენს Pixel-ზე Android 13-ით? მარტო არ ხარ
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
