Kā rīkoties, ja hakeri varētu paņemt esošu likumīgu lietotni vai atjauninājumu ar derīgu ciparparakstu, un modificējiet to, lai izmantotu to kā ļaunprātīgu Trojas zirgu, lai piekļūtu visam jūsu Android tālrunī vai planšete? Kad piezvanīja pētnieki no mobilās drošības starta Bluebox Security atklāja ka viņi bija identificējuši tieši šādu ievainojamību, kas skāra “99 procentus” Android ierīču, tā kļuva par tehnoloģiju virsrakstiem visā tīmeklī. Bet vai jums vajadzētu uztraukties?
Kāda ir problēma?
“Šī ievainojamība vismaz kopš operētājsistēmas Android 1.6 izlaišanas (koda nosaukums: “Donut”) var ietekmēt jebkuru Android tālruni, kas izlaists pēdējos 4 gados,” skaidroja Džefs Forristāls, Bluebox tehniskais vadītājs. ieraksts uzņēmuma emuārā. Viņš turpināja norādīt, ka "... hakeris var izmantot ievainojamību jebko, sākot no datu zādzības līdz mobilā robottīkla izveidei."
Ieteiktie videoklipi
APK jeb Android lietojumprogrammu pakotnes faili ir apdraudēti, jo šis trūkums ļauj hakeriem mainīt likumīgu lietotni vai atjauninājumu, bet saglabāt ciparparakstu, kas apstiprina to kā drošu. Viņi varētu izveidot viltotu lietotni, lai nozagtu jūsu paroles un izmantotu likumīgu ciparparakstu, lai jūsu Android tālrunis uzskatītu, ka to ir izveidojis tāds uzņēmums kā Samsung, HTC vai pat Google. Tā kā ierīču ražotāji un uzticamie partneri ražo lietotnes ar priviliģētu piekļuvi jūsu Android sistēmai, ir ļoti nopietns risks, ka tālrunī nonāks ļaunprātīga informācija.
Saistīts
- 5 lietas, ko mēs vēlētos redzēt Google I/O 2023 (bet, iespējams, to nedarīsim)
- Atpūtieties, ES biedējošais USB-C noteikums neatņems jums ātrās uzlādes priekšrocības
- Labākās reklāmu bloķēšanas lietotnes operētājsistēmai Android 2022. gadā
Kas šajā sakarā tiek darīts?
Bluebox atklāja Android drošības kļūdu 8219321 uzņēmumam Google 2013. gada februārī. Google jau ir atjauninājis Play veikalu, lai tiktu veiktas pārbaudes, lai bloķētu visas ļaunprātīgās lietotnes, kas izmanto šo ļaunprātīgu izmantošanu. Google kopīgoja kļūdu ar saviem aparatūras partneriem Open Handset Alliance, un daži ražotāji jau ir izlaiduši ielāpus, lai novērstu šo drošības problēmu.
Kā izvairīties no ļaunprātīgas programmatūras?
Ja esat uzmanīgs, lai nekad neatstājiet tālruni bez uzraudzības un instalējat tikai programmas un atjauninājumus no Pakalpojumā Google Play nav iemesla bažām, jo tas jūs faktiski neapdraud izmantot. Ja vēlaties pārliecināties, ka tas netiek ietekmēts, dodieties uz Iestatījumi > Drošība un pārliecinieties, vai nav atzīmēta izvēles rūtiņa Atļaut instalēšanu no nezināmiem avotiem.
Mēs esam apsprieduši Android lietotņu drošības pamati pirms un tie joprojām ir spēkā. Noziedznieki tagad nevar izmantot Google Play veikalu, lai izplatītu ļaunprātīgu programmatūru, izmantojot šo ļaunprātīgu izmantošanu, tāpēc tagad ir droši lejupielādēt lietotnes. Jums vajadzētu izvairīties no lietotņu vai atjauninājumu instalēšanas no citiem avotiem – pat Samsung vai Amazon lietotņu veikaliem – vismaz pagaidām. Trešās puses Android lietotņu veikali un tiešās saites vietnēs ir visticamākie piegādes veidi, taču ļaunprātīga programmatūra var saņemt pa e-pastu vai pat pārsūtīt uz ierīci, izmantojot USB kabeli (ja pievienojat tālruni savam dators).
"Galvenā problēma ļaunprātīgas programmatūras izplatīšanai operētājsistēmā Android ir panākt, lai lietotājs lejupielādētu un instalētu kaut ko no nedrošiem avotiem (noteiktu trešo pušu tirgi vai tieši no tīmekļa),” Maik Morgenstern no neatkarīgā drošības institūta AV-Test, mums paskaidroja. "Ziņotā ievainojamība nekādā veidā nepalīdz ļaunprātīgas programmatūras autoriem. Viņiem joprojām būs grūti iegūt savus darbus Google Play veikalā, un pat tad, ja viņiem tas izdotos, viņu lietotnes, protams, netiks norādītas sākotnējā autora kontā. [Piemēram,], ja viņi izveido Trojanizētu versiju Dusmīgie putni, īgnie putni, tas būtu norādīts zem ļaunprātīgas programmatūras autora vārda, nevis zem Rovio. Tāpēc lietotāji diez vai paklups pār šīm trojānizētajām lietotnēm. Ja lietotāji lejupielādē lietotnes tikai no Google Play veikala, viņiem vajadzētu būt drošībā.
Tātad, es varu atpūsties?
Android problēma ir tā, ka Google var veikt darbības, lai novērstu trūkumus un uzlaušanas veidus, taču tas nevar ieviest sistēmas mēroga atjauninājumu.
"Galvenā problēma ir daudzu ražotāju atjaunināšanas politika," mums teica Morgenšterns. "Vecās ierīces vairs nesaņem atjauninājumus (tāpēc šīs ierīces paliks neaizsargātas), un pat jaunu ierīču atjaunināšana var ilgt mēnešus."
Atsevišķu ražotāju un mobilo sakaru operatoru (AT&T, Verizon, T-Mobile, Sprint u.c.) ziņā ir nosūtīt atjauninājumus ierīcēm. Parasti vecākas Android ierīces tiek atstātas novārtā. Ja jums ir vecāka ierīce, kas ir apdraudēta un neesat apmierināts ar pakalpojumu Google Play, jūs kādu laiku varat tikt pakļauts riskam.
Atjauninājums 7-9-2013: Bluebox padomi
Pēc šī raksta publicēšanas Bluebox sazinājās ar mums. Viņi mudina lietotājus, lai labākais veids, kā samazināt šīs ievainojamības risku, ir “Sazinieties ar ierīces ražotāju vai mobilo sakaru operatoru par savu konkrēto Android ierīces modeli. un OS versiju, lai redzētu, vai ir pieejams jaunākais atjauninājums/labojums. Viņi arī norāda, ka jums, iespējams, būs jāpārbauda izlaiduma piezīmes, lai apstiprinātu, ka labojums ir iekļauts Atjaunināt. Ja nevarat to atrast savai ierīcei, viņi iesaka pagaidām izvairīties no instalēšanas ārpus pakalpojuma Google Play.
Bluebox tehniskais direktors Džefs Forristāls savā sarunā plāno publiskot problēmas tehniskos datus Melnā cepure ASV 2013 mēneša beigās. Joprojām ir jāredz, kā reaģēs lielākie Android ierīču pārdevēji. Mēs jūs informēsim.
Raksts sākotnēji publicēts 2013. gada 8. jūlijā.
Redaktoru ieteikumi
- Nepalaidiet garām iespēju iegūt šo Lenovo Android planšetdatoru par 120 $
- Jūs neticēsiet, cik lēts šis iPad ir, pateicoties Kiberpirmdienai
- Google vēlas, lai jūs zinātu, ka Android lietotnes vairs nav paredzētas tikai tālruņiem
- Pats labākais operētājsistēmā Android 13 nav jauna funkcija vai iestatījums — tas ir kaut kas cits
- Vai bezvadu uzlāde nedarbojas jūsu Pixel ar operētājsistēmu Android 13? Jūs neesat viens
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi straujajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
