Ознайомлення з останньою відлякуванням безпеки "головного ключа" для Android

Ні спина, ні дурниць, а просто чіткі розмови про те, що відбувається цього разу

Деякі реальні розмови про цей подвиг, який виявила команда безпеки Bluebox, потрібні. Перше, що потрібно знати, це те, що ти, мабуть, постраждав. Це подвиг, який працює на кожному пристрої, який не виправлено з Android 1.6. Якщо ви вкоренилися та приєднали ROM до свого телефону, ви можете вільно проігнорувати все це. Ніщо з цього не рахується для вас, оскільки існує цілий інший набір проблем безпеки, який поставляється із кореневими та користувацькими ПЗУ, про які ви можете турбуватися.

Якщо у ваших налаштуваннях не встановлено сумнозвісне поле дозволу "Невідомі джерела", це все для вас нічого не означає. Продовжуйте і не соромтеся бути трохи самодовольним і самоправедним - ви заслуговуєте цього на те, щоб уникнути бічного завантаження весь цей час, якщо щось подібне може статися. Якщо ви не знаєте, що це означає, запитайте когось.

Для решти нас читайте минулу перерву.

Детальніше: Служба новин IDG

Що це?

Усі програми на вашому Android підписані криптографічним ключем. Коли настає час оновити цю програму, нова версія повинна мати той самий цифровий підпис, що і стара, інакше вона не буде перезаписана. Іншими словами, ви не можете її оновити. Не є винятками, і розробники, які втрачають ключ підписання, повинні створити абсолютно новий додаток, який нам доведеться завантажувати заново. Це означає починати з нуля. Усі нові завантаження, всі нові огляди та оцінки. Це не банальна справа.

У системних додатках - тих, які встановлені на ваш телефон від HTC або Samsung або Google - також є ключ. Ці програми часто мають повний доступ адміністратора до всього на вашому телефоні, оскільки вони є надійними програмами від виробника. Але вони все ще просто додатки.

Ви все ще стежите за мною?

Те, про що ми зараз говоримо, про що говорить Bluebox - це метод розірвати додаток для Android та змінити код, не порушуючи криптографічного ключа. Ми підбадьорюємо, коли хакери обходять заблоковані завантажувачі, і це такий самий вид експлуатації. Коли щось заблокуєш, інші знайдуть спосіб, якщо вони постараються досить наполегливо. І коли ваша платформа є найпопулярнішою на планеті, люди дуже стараються.

Отже, хтось може взяти системну програму з телефону. Просто витягніть його. Використовуючи цей подвиг, вони можуть редагувати його, щоб робити неприємні речі - надайте йому новий номер версії та спакуйте його разом, зберігаючи той самий, дійсний ключ підпису. Потім ви можете потенційно встановити цю програму прямо над наявною копією, і тепер у вас є додаток, призначений робити погані речі, і він має повний доступ до всієї вашої системи. Програму весь час буде виглядати та вести себе нормально - ви ніколи не дізнаєтесь, що відбувається щось рибне.

Yikes.

Що з цим робиться?

Про це в лютому люди в Bluebox розповіли всьому альянсу Open Handset Alliance. Google та виробники оригінальних виробників відповідають за виправлення речей, щоб запобігти цьому. Samsung зробила свою частину з Galaxy S4, але кожен інший телефон, який вони продають, є вразливим. HTC та One не зробили цю проблему, тому всі телефони HTC вразливі. Насправді, кожен телефон, окрім Samsung Touchwiz версії Galaxy S4, є вразливим.

Google ще не оновив Android для виправлення цієї проблеми. Я думаю, вони над цим наполегливо працюють - дивіться проблеми, які Chainfire пережив через вкорінення Android 4.3. Але Google не сидів склавши руки і ігнорував це. Магазин Google Play був "виправлений", так що жодні підроблені програми не можна завантажувати на сервери Google. Це означає, що будь-яке додаток, яке ви завантажуєте з Google Play, є чистим - принаймні, де це стосується саме цього подвигу. Але такі місця, як Amazon, Slide Me, і звичайно, усі ці розтріскані APK форуми там широко відкриті, і кожен додаток може мати поганий JuJu всередині нього.

Так це справді велика справа?

Так, це величезна угода. І в той же час ні, це насправді немає.

Google виправить спосіб оновлення програм Android або спосіб їх підписання. У цій грі з котами-мишами це нормальне явище. Google випускає програмне забезпечення, хакери (як хорошого, так і поганого) намагаються використовувати його, і коли вони роблять, Google змінює код. Ось так працює програмне забезпечення, і подібних речей слід очікувати, коли у вас достатньо розумних людей, які намагаються прорватися.

З іншого боку, телефон, який у вас зараз, може ніколи не побачити оновлення, щоб виправити це. Чорт забирав Samsung майже рік, щоб виправити браузер проти подвигу, який міг би стерти всі ваші дані користувачів лише на деяких його телефонах. Якщо у вас є телефон, який, як ви очікуєте, буде оновлено до Android 4.3, ви, ймовірно, отримаєте виправлення. Якщо ні, то хтось здогадається. Це погано - дуже погано. Я не намагаюся шлакувати людей, які роблять наші телефони, але правда - це правда.

Що я можу зробити?

• Не завантажуйте додатки за межами Google Play.
• Не завантажуйте додатки за межами Google Play.
• Не завантажуйте додатки за межами Google Play.
• Насправді, продовжуйте та вимкніть дозвіл на невідомі джерела, якщо хочете. Я робив. Все інше залишає вас вразливими. Деякі програми "Антивірус" перевірять, чи увімкнено невідомі джерела, якщо ви не впевнені. Зайдіть на форуми і з’ясуйте, хто з них, на думку кожного, найкращий, якщо вам потрібно.
• Висловіть своє незадоволення тим, що не отримуєте істотних оновлень безпеки для свого телефону. Особливо, якщо ви все ще на дворічному (або трирічному - привіт Канаді!) Контракт.
• Коріньте свій телефон і встановіть ПЗУ, який має якесь виправлення - популярні, швидше за все, з’являться вже дуже скоро.

Тому не панікуйте. Але будьте ініціативними та використовуйте якийсь здоровий глузд. Зараз справді хороший час, щоб припинити встановлення тріщин додатків, тому що люди, які роблять злом, - це такі ж самі люди, які могли вкласти злий код у додаток. Якщо ви отримаєте повідомлення про оновлення, які надходять з іншого місця, ніж Google Play, повідомте комусь. Скажіть нам, якщо вам потрібно. З’ясуйте людей, які намагаються передати ці подвиги і надайте їм велику дозу публічного ганьби та викриття. Таракани ненавидять світло.

Це пройде так, як це завжди страшить безпека, але інший вступить, щоб наповнити взуття. Така природа звіра. Будьте безпечні хлопці.