Tänk om hackare kunde ta en befintlig legitim app eller uppdatera med en giltig digital signatur, och ändra det för att använda det som en skadlig trojan för att komma åt allt på din Android-telefon eller läsplatta? När forskare från en mobil säkerhetsstartup ringde Bluebox Security avslöjat att de hade identifierat just en sådan sårbarhet som påverkade "99 procent" av Android-enheterna, gjorde det tekniska rubriker på webben. Men borde du vara orolig?
Vad är problemet?
"Denna sårbarhet, åtminstone sedan lanseringen av Android 1.6 (kodnamn: "Donut"), kan påverka vilken Android-telefon som helst som släppts under de senaste fyra åren," förklarade Jeff Forristal, Bluebox CTO, i en inlägg på företagets blogg. Han fortsatte med att påpeka att "...en hackare kan utnyttja sårbarheten för allt från datastöld till att skapa ett mobilt botnät."
Rekommenderade videor
APK-filer, eller Android-applikationspaket, är i riskzonen eftersom detta fel tillåter hackare att ändra en legitim app eller uppdatering, men behålla den digitala signaturen som verifierar att den är säker. De kan skapa en falsk app för att stjäla dina lösenord och använda en legitim digital signatur, så att din Android-telefon tror att den är gjord av ett företag som Samsung, HTC eller till och med Google själv. Eftersom enhetstillverkare och betrodda partner producerar appar med privilegierad åtkomst till ditt Android-system, är risken för att något skadligt ska komma in på din telefon mycket allvarlig.
Relaterad
- 5 saker vi skulle älska att se på Google I/O 2023 (men förmodligen inte kommer)
- Slappna av, EU: s läskiga USB-C-regel kommer inte att beröva dig snabbladdningsfördelar
- De bästa annonsblockerande apparna för Android 2022
Vad görs åt detta?
Bluebox avslöjade Android-säkerhetsbugg 8219321 för Google redan i februari 2013. Google har redan uppdaterat Play Butik så att det finns kontroller på plats för att blockera eventuella skadliga appar som använder detta utnyttjande. Google delade felet med sina hårdvarupartner i Open Handset Alliance och vissa tillverkare har redan släppt patchar för att åtgärda detta säkerhetsproblem.
Hur kan jag undvika skadlig programvara?
Om du är noga med att aldrig lämna din telefon utan uppsikt och du bara installerar appar och uppdateringar från Google Play så finns det ingen verklig anledning till oro eftersom du egentligen inte är i riskzonen för detta utnyttja. Om du vill försäkra dig om att du inte påverkas, gå in Inställningar > Säkerhet och se till att rutan tillåt installation från "okända källor" är avmarkerad.
Vi har diskuterat Android app säkerhet grunderna innan och de gäller fortfarande. Brottslingar kan nu inte använda Google Play Butik för att cirkulera skadlig programvara med detta utnyttjande så det är nu säkert att ladda ner appar där. Vad du bör undvika är att installera appar eller uppdateringar från andra källor – till och med Samsungs eller Amazons appbutiker – åtminstone för nu. Tredjeparts Android-appbutiker och direktlänkar på webbplatser är de mest troliga leveransmetoderna, men skadlig programvara kan komma via e-post, eller till och med överföra till din enhet via en USB-kabel (om du ansluter din telefon till din dator).
"Det största problemet med att sprida skadlig programvara på Android är att få användaren att ladda ner och installera något från osäkra källor (vissa tredjepartsmarknader eller direkt från webben)”, Maik Morgenstern, från det oberoende säkerhetsinstitutet, AV-Test, förklarade för oss. "Den rapporterade sårbarheten "hjälper" inte författare av skadlig programvara här på något sätt. De skulle fortfarande ha svårt att få sina skapelser i Google Play Butik och även om de lyckas, skulle deras appar naturligtvis inte listas under den ursprungliga författarens konto. [Till exempel] om de skapar en trojaniserad version av Arga fåglar, skulle den listas under Malware Authors Name och inte under Rovio. Så användare skulle knappast snubbla över dessa trojaniserade appar. Om användare bara laddar ner appar från Google Play Butik borde de vara säkra."
Så jag kan slappna av?
Problemet med Android är att Google kan vidta åtgärder för att åtgärda brister och hacking, men det kan inte rulla ut en systemomfattande uppdatering.
"Det största problemet är uppdateringspolicyn för många tillverkare," berättade Morgenstern. "Gamla enheter får inga uppdateringar längre (så dessa enheter kommer att förbli sårbara) och även uppdateringar för nya enheter kan ta månader."
Det är upp till enskilda tillverkare och mobiloperatörer (AT&T, Verizon, T-Mobile, Sprint, etc) att skicka ut uppdateringar till enheter. Det är vanligt att äldre Android-enheter blir kvar. Om du har en äldre enhet som är i riskzonen och du inte är nöjd med att hålla dig till Google Play kan du bli utsatt för en tid framöver.
Uppdatering 2013-09-07: Råd från Bluebox
Efter att denna artikel publicerats kontaktade Bluebox oss. De uppmanar användare att det bästa sättet att minska risken för denna sårbarhet är att "Kontrollera med din enhetstillverkare eller din mobiloperatör om din specifika Android-enhetsmodell och OS-version för att se om en ny uppdatering/fix har gjorts tillgänglig." De påpekar också att du kan behöva kontrollera release notes för att bekräfta att en fix ingår i uppdatering. Om du inte kan hitta en för din enhet, föreslår de att du bör undvika att installera något från utanför Google Play för tillfället.
Bluebox CTO, Jeff Forristal, planerar att släppa tekniska detaljer om problemet vid sitt föredrag kl Black Hat USA 2013 i slutet av månaden. Det återstår att se hur de stora Android-enhetsleverantörerna kommer att reagera. Vi kommer att hålla dig uppdaterad.
Artikeln publicerades ursprungligen 2013-08-07.
Redaktörens rekommendationer
- Missa inte din chans att få denna Lenovo Android-surfplatta för $120
- Du kommer inte att tro hur billig denna iPad är, tack vare Cyber Monday
- Google vill att du ska veta att Android-appar inte bara är för telefoner längre
- Det bästa med Android 13 är inte en ny funktion eller inställning – det är något annat
- Trådlös laddning fungerar inte på din Pixel med Android 13? Du är inte ensam
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
