Čo keby hackeri mohli vziať existujúcu legitímnu aplikáciu alebo aktualizáciu s platným digitálnym podpisom a upravte ho, aby ste ho mohli použiť ako škodlivý trójsky kôň na prístup ku všetkému na vašom telefóne s Androidom alebo tablet? Keď sa ozvali výskumníci z mobilného bezpečnostného startupu Bluebox Security odhalil že identifikovali práve takú zraniteľnosť, ktorá postihla „99 percent“ zariadení s Androidom, vďaka čomu sa dostali do technických titulkov na celom webe. Ale mali by ste sa obávať?
Aký je problém?
„Táto zraniteľnosť, prinajmenšom od vydania systému Android 1.6 (kódové označenie: „Donut“), by mohla ovplyvniť akýkoľvek telefón s Androidom vydaný za posledné 4 roky,“ vysvetlil Jeff Forristal, technický riaditeľ spoločnosti Bluebox. uverejniť na firemnom blogu. Ďalej poukázal na to, že „...hacker môže zneužiť túto zraniteľnosť na čokoľvek, od krádeže dát až po vytvorenie mobilného botnetu.
Odporúčané videá
Súbory APK alebo balíka aplikácií pre Android sú ohrozené, pretože táto chyba umožňuje hackerom zmeniť legitímnu aplikáciu alebo aktualizáciu, ale ponechať si digitálny podpis, ktorý ju overuje ako bezpečnú. Mohli by vytvoriť falošnú aplikáciu, ktorá by ukradla vaše heslá a použila legitímny digitálny podpis, aby si váš telefón s Androidom myslel, že ho vytvorila spoločnosť ako Samsung, HTC alebo dokonca samotný Google. Keďže výrobcovia zariadení a dôveryhodní partneri vyrábajú aplikácie s privilegovaným prístupom k vášmu systému Android, riziko, že sa do vášho telefónu dostane niečo škodlivé, je veľmi vážne.
Súvisiace
- 5 vecí, ktoré by sme radi videli na Google I/O 2023 (ale pravdepodobne nie)
- Uvoľnite sa, desivé pravidlo EÚ USB-C vás neokradne o výhody rýchleho nabíjania
- Najlepšie aplikácie na blokovanie reklám pre Android v roku 2022
čo sa s tým robí?
Bluebox odhalil spoločnosti Google bezpečnostnú chybu Androidu 8219321 už vo februári 2013. Google už aktualizoval Obchod Play, aby boli zavedené kontroly na blokovanie akýchkoľvek škodlivých aplikácií využívajúcich tento exploit. Google zdieľal chybu so svojimi hardvérovými partnermi v Open Handset Alliance a niektorí výrobcovia už vydali opravy na odstránenie tohto bezpečnostného problému.
Ako sa môžem vyhnúť malvéru?
Ak si dávate pozor, aby ste svoj telefón nikdy nenechali bez dozoru a inštalujete iba aplikácie a aktualizácie z V službe Google Play potom nie je žiadny skutočný dôvod na obavy, pretože vám to v skutočnosti nehrozí zneužívať. Ak sa chcete uistiť, že nie ste ovplyvnení, choďte do Nastavenia > Zabezpečenie a uistite sa, že políčko Povoliť inštaláciu z „neznámych zdrojov“ nie je začiarknuté.
Diskutovali sme o Základy zabezpečenia aplikácií pre Android predtým a stále platia. Zločinci teraz nemôžu používať Obchod Google Play na šírenie škodlivého softvéru pomocou tohto exploitu, takže je teraz bezpečné sťahovať aplikácie tam. Čomu by ste sa mali vyhnúť, je inštalácia aplikácií alebo aktualizácií z iných zdrojov – dokonca aj z obchodov s aplikáciami Samsung alebo Amazon – aspoň zatiaľ. Obchody s aplikáciami pre Android tretích strán a priame odkazy na webových stránkach sú najpravdepodobnejšími spôsobmi doručenia, ale malvér môže prísť e-mailom alebo dokonca preniesť do vášho zariadenia pomocou kábla USB (ak pripojíte telefón k vášmu počítač).
„Hlavným problémom šírenia malvéru v systéme Android je prinútiť používateľa, aby si stiahol a nainštaloval niečo z nezabezpečených zdrojov (určité trhy tretích strán alebo priamo z webu),“ Maik Morgenstern z nezávislého bezpečnostného inštitútu AV-Test, vysvetlil nám. „Hlásená zraniteľnosť žiadnym spôsobom nepomáha autorom škodlivého softvéru. Stále by bolo ťažké dostať svoje výtvory do Obchodu Google Play a aj keby sa im to podarilo, ich aplikácie by, samozrejme, neboli uvedené pod účtom pôvodného autora. [Napríklad] ak vytvoria trojanizovanú verziu Nahnevané vtáky, bude uvedený pod menom autora škodlivého softvéru a nie pod Rovio. Používatelia by teda o tieto trojanizované aplikácie len ťažko narazili. Ak používatelia sťahujú aplikácie iba z obchodu Google Play, mali by byť v bezpečí.“
Môžem si teda oddýchnuť?
Problém s Androidom je v tom, že Google môže podniknúť kroky na odstránenie nedostatkov a hackerských útokov, ale nemôže zaviesť aktualizáciu pre celý systém.
„Hlavným problémom je aktualizačná politika mnohých výrobcov,“ povedal nám Morgenstern. "Staré zariadenia už nedostávajú aktualizácie (takže tieto zariadenia zostanú zraniteľné) a dokonca aj aktualizácie pre nové zariadenia môžu trvať mesiace."
Je na jednotlivých výrobcoch a mobilných operátoroch (AT&T, Verizon, T-Mobile, Sprint atď.), aby do zariadení tlačili aktualizácie. Je bežné, že staršie zariadenia so systémom Android zostávajú pozadu. Ak máte staršie zariadenie, ktoré je ohrozené, a nie ste spokojní so službou Google Play, mohli by ste byť ešte nejaký čas vystavení.
Aktualizácia 7. 9. 2013: Rady od Blueboxu
Po zverejnení tohto článku nás spoločnosť Bluebox kontaktovala. Naliehajú na používateľov, že najlepším spôsobom, ako znížiť riziko tejto zraniteľnosti, je „Opýtajte sa výrobcu vášho zariadenia alebo mobilného operátora na váš konkrétny model zariadenia Android. a verziu operačného systému, aby ste zistili, či bola k dispozícii nedávna aktualizácia/oprava.“ Tiež poukazujú na to, že možno budete musieť skontrolovať poznámky k vydaniu, aby ste potvrdili, že oprava je zahrnutá v súbore aktualizovať. Ak nemôžete nájsť žiadne pre svoje zariadenie, navrhujú, aby ste sa zatiaľ vyhli inštalácii čohokoľvek mimo služby Google Play.
CTO Bluebox, Jeff Forristal, plánuje na svojej prednáške zverejniť technické podrobnosti o probléme Black Hat USA 2013 na konci mesiaca. Uvidí sa, ako zareagujú hlavní predajcovia zariadení s Androidom. Budeme vás informovať.
Článok pôvodne uverejnený 7.8.2013.
Odporúčania redaktorov
- Nepremeškajte svoju šancu získať tento tablet Lenovo Android za 120 dolárov
- Neuveríte, aký lacný je tento iPad vďaka Cyber Monday
- Google chce, aby ste vedeli, že aplikácie pre Android už nie sú len pre telefóny
- Najlepšia vec na systéme Android 13 nie je nová funkcia alebo nastavenie – je to niečo iné
- Bezdrôtové nabíjanie na vašom Pixeli s Androidom 13 nefunguje? nie ste sami
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
