Що, якби хакери могли взяти існуючу законну програму або оновити її з дійсним цифровим підписом, і змінити його, щоб використовувати його як шкідливий троян для доступу до всього на вашому телефоні Android або планшет? Коли подзвонили дослідники зі стартапу мобільної безпеки Розкрито Bluebox Security що вони виявили саме таку вразливість, яка вразила «99 відсотків» пристроїв Android, це потрапило в технічні заголовки в Інтернеті. Але чи варто хвилюватися?
В чому проблема?
«Ця вразливість, принаймні з моменту випуску Android 1.6 (кодова назва: «Donut»), може вплинути на будь-який телефон Android, випущений за останні 4 роки», — пояснив Джефф Форрістал, технічний директор Bluebox, у опублікувати в блозі компанії. Далі він зазначив, що «…хакер може використати вразливість для чого завгодно: від крадіжки даних до створення мобільного ботнету».
Рекомендовані відео
Файли APK або пакета програм для Android знаходяться під загрозою, оскільки ця вада дозволяє хакерам змінювати законну програму чи оновлення, але зберігає цифровий підпис, який підтверджує її безпеку. Вони можуть створити підроблену програму для крадіжки ваших паролів і використання законного цифрового підпису, щоб ваш телефон Android думав, що його створила така компанія, як Samsung, HTC або навіть сама Google. Оскільки виробники пристроїв і надійні партнери створюють програми з привілейованим доступом до вашої системи Android, ризик того, що щось зловмисне проникне на ваш телефон, є дуже серйозним.
Пов'язані
- 5 речей, які ми хотіли б побачити на Google I/O 2023 (але, ймовірно, не побачимо)
- Розслабтеся, страхітливе правило ЄС USB-C не позбавить вас переваг швидкої зарядки
- Найкращі програми для блокування реклами для Android у 2022 році
Що з цим робиться?
Bluebox повідомила Google про помилку безпеки Android 8219321 ще в лютому 2013 року. Google уже оновив Play Store, щоб у ньому були встановлені перевірки для блокування будь-яких шкідливих програм, які використовують цей експлойт. Google поділився помилкою зі своїми партнерами з апаратного забезпечення в Open Handset Alliance, і деякі виробники вже випустили патчі для вирішення цієї проблеми безпеки.
Як я можу уникнути зловмисного програмного забезпечення?
Якщо ви ніколи не залишаєте свій телефон без нагляду та встановлюєте програми та оновлення лише з Google Play, тоді немає справжньої причини для занепокоєння, оскільки ви насправді не ризикуєте цим експлуатувати. Якщо ви хочете переконатися, що вас це не вплинуло, зайдіть Налаштування > Безпека і переконайтеся, що прапорець «Дозволити встановлення з невідомих джерел» знято.
Ми обговорили Основи безпеки програм Android раніше, і вони все ще застосовуються. Злочинці тепер не можуть використовувати Google Play Store для розповсюдження зловмисного програмного забезпечення за допомогою цього експлойту, тому тепер безпечно завантажувати програми звідти. Чого вам слід уникати, так це встановлення програм або оновлень з інших джерел – навіть із магазинів додатків Samsung або Amazon – принаймні на даний момент. Сторонні магазини додатків для Android і прямі посилання на веб-сайтах є найвірогіднішими способами доставки, але зловмисне програмне забезпечення може надійти електронною поштою або навіть передатися на ваш пристрій через USB-кабель (якщо ви підключите телефон до свого комп'ютер).
«Основна проблема поширення зловмисного ПЗ на Android полягає в тому, щоб змусити користувача завантажити та встановити щось із незахищених джерел. (на певних сторонніх ринках або безпосередньо з Інтернету)», – Майк Моргенштерн з незалежного інституту безпеки AV-Test, пояснив нам. «Повідомлена вразливість жодним чином не «допомагає» авторам шкідливих програм. Їм все одно буде важко отримати свої творіння в магазині Google Play, і навіть якщо їм це вдасться, їхні програми не будуть указані в обліковому записі оригінального автора, звичайно. [Наприклад,] якщо вони створять троянську версію Злі птахи, він буде вказаний під іменем авторів шкідливих програм, а не під Rovio. Тому користувачі навряд чи спіткнуться об ці троянські програми. Якщо користувачі завантажують програми лише з магазину Google Play, вони повинні бути в безпеці».
Отже, я можу розслабитися?
Проблема з Android полягає в тому, що Google може вжити заходів, щоб виправити недоліки та хакерські експлойти, але не може розгорнути системне оновлення.
«Головною проблемою є політика оновлення багатьох виробників», — сказав нам Моргенштерн. «Старі пристрої більше не отримують оновлення (тому ці пристрої залишаться вразливими), і навіть оновлення для нових пристроїв можуть тривати місяці».
Окремі виробники та оператори мобільного зв’язку (AT&T, Verizon, T-Mobile, Sprint тощо) мають надсилати оновлення на пристрої. Зазвичай старі пристрої Android залишають позаду. Якщо у вас є старіший пристрій, який знаходиться під загрозою, і ви не задоволені дотриманням Google Play, ви можете бути піддані протягом деякого часу.
Оновлення 7-9-2013: поради від Bluebox
Після публікації цієї статті Bluebox зв’язався з нами. Вони закликають користувачів, що найкращий спосіб зменшити ризик цієї вразливості – це «уточніть у виробника вашого пристрою або оператора мобільного зв’язку інформацію про конкретну модель пристрою Android. і версію ОС, щоб дізнатися, чи доступне останнє оновлення/виправлення». Вони також зазначають, що вам може знадобитися перевірити примітки до випуску, щоб підтвердити, що виправлення включено в оновлення. Якщо ви не можете знайти його для свого пристрою, вони радять наразі уникати встановлення будь-чого не з Google Play.
Технічний директор Bluebox Джефф Форрістал планує оприлюднити технічні деталі проблеми під час виступу в Чорний капелюх США 2013 в кінці місяця. Залишається побачити, як відреагують основні постачальники пристроїв Android. Ми будемо тримати вас в курсі.
Стаття вперше опублікована 7-8-2013.
Рекомендації редакції
- Не пропустіть свій шанс отримати цей планшет Lenovo Android за 120 доларів США
- Ви не повірите, наскільки дешевий цей iPad завдяки Кіберпонеділку
- Google хоче, щоб ви знали, що програми Android більше не лише для телефонів
- Найкраще в Android 13 — це не нова функція чи налаштування — це щось інше
- Бездротова зарядка не працює на вашому Pixel з Android 13? Ви не самотні
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
