Logo uk.androidermagazine.com
Logo uk.androidermagazine.com
» Новини
Новини

Більше проблем з безпекою ринку Android - і нова ідея виправити їх із софосу

Більше проблем з безпекою ринку Android - і нова ідея виправити їх із софосу
Anonim

Шкідливі файли знову знайшли свій шлях до Android Market, а набір програм було викрадено, реверсивно розроблено зі введеним шкідливим кодом та опубліковано поряд із законними програмами.

Слід згадати ще дві речі - Google уже видалив додатки з ринку, і цього разу вони торкнулися лише користувачів у Китаї, звідки вони також походять. Якщо ви читаєте цю історію, ви, мабуть, в безпеці і ніколи не ризикували. Але це все ще викликає велике занепокоєння. Набір поганих хлопців (це моя безпечна для роботи версія) змогла зняти програми від законного розробника, ввести якийсь код, який надсилає SMS-повідомлення до китайської служби передплати, а потім зробив кілька справді геніальних кроків, щоб зберегти все, що приховано від користувача. Це станеться, тому що все, що є електронним і досить популярним, - це мета. Те, що стосується, полягає в тому, що вони пробиваються на Android Market.

Дозвольте мені після перерви мати кілька сотень слів про це.

Джерело: AegisLabs через Sophos; Спасибі, Tony Bag o 'Donuts!

Я розірваний. Як користувач і на особистому рівні я кажу, що залишайте все відкритим і змушуйте користувачів бути старанними та встановлювати лише ті програми, яким вони довіряють, незалежно від того, звідки вони беруться. Дізнайтеся, що таке дозволи та чому програма може або не потребуватиме їх (наприклад, Adobe Reader). Але як блогер і (сподіваюся) шанобливий авторитет Android, я несу відповідальність перед нашими читачами бажати того, що найкраще для них. Це ви, хлопці. Багато хто з вас поважають власні повноваження Android, і не мають проблеми розпізнати, що безпечно, а що ні. Багато інших не є, і залежать від Android Central та інших ресурсів Інтернету, щоб запропонувати хороші поради щодо безпеки. Це залишає мене трохи соління.

Читаючи різні публікації з безпеки про цю, я натрапив на справді цікаву ідею від Ванжі Швайцер у компанії Sophos. Його ідея проста і проста у здійсненні - нам потрібні два набори ключів підпису. Програми, які хочуть або потребують таких дій, як надсилання SMS-повідомлень або розігрування зі списком контактів, повинні використовувати набір підтверджених ключів, прив’язаних до законного облікового запису розробника, затвердженого Google. Нехай програми та теми fart продовжують використовувати створені користувачем ключі - не змушуйте розробників хобі перестрибувати будь-які обручі для людей у ​​Mountain View, якщо вони не збираються робити нічого, що могло б створити потенційну проблему безпеки. Але в той момент, коли додаток хоче отримати доступ до вашої телефонної книги або використовувати ваш GMail authToken, перевірте ключ підписання та перевірте його. Бережіть користувачів, і вони залишаться щасливими. Щасливі користувачі купують більше додатків та більше продуктів Android. Ракетна наука це не так. Ця Ваня вдарила цвяхом прямо по голові - що ви кажете, Google?

Anyhoo, це вже закінчено. Якщо вам цікаво, ось список застосованих програм. Зверніть увагу, що всі вони були негайно вилучені з ринку та постраждали лише від користувачів, які мають китайський локальний номер та номер телефону.

  • iBook
  • iCartoon
  • LoveBaby
  • 3D Cube жах жахливий
  • Морський бал
  • iCalendar
  • iMatch
  • Розтрушувати
  • ShakeBanger
  • iMine
  • iGuide

Ми будемо стежити за речами та повідомлятимемо вас про наступний раз. І буде наступний раз - компроміс за можливість мати такі програми, як Handcent, має додатки, які використовують ті самі функції та відкритість для речей, які ми б хотіли, щоб вони не зробили. На даний момент мені доведеться запропонувати дві речі:

  1. Використовуйте сканер "вірусу". Так, я знаю, що для Android немає вірусів, але такі назви застрягають. Усі проблеми безпеки досі вимагають від кінцевого користувача встановити їх. Ви нічим не заразитесь лише за допомогою телефону. На ринку можна вибрати кілька. Всі вони працюють, тому перевірте особливості кожного та зробіть вибір. Тоді радійте, що ми маємо їх робити брудну роботу за нас.
  2. Не встановлюйте жодних додатків, якими ви не повинні бути. Так, це спокусливо, і ми зробили це досить легко з Sideload Wonder Machine (але це не було моїм наміром!). Блогери з безпеки не просто димують, коли попереджають вас про це. Якщо ви здатні, натисніть один з цих піратських форумів додатків і завантажте кілька, а потім резервуйте їх і порівняйте їх з офіційними версіями. Якщо ви не здатні, просто довірте нам. Близько половини з них мають деякі серйозні відмінності в коді. Дотримуйтесь програм, яким ви довіряєте. Або дотримуйтесь ринку - якщо ви зациклюєтесь на троянському Google, це виправить вас. Мало того, що розробники заслуговують тих кількох доларів, які вони просять за свою наполегливу працю, ви зрештою будете безпечнішими.
Новини

Вибір редактора