Giver mening om den nyeste Android 'master key' sikkerhed skræmme

Intet spin, ingen bullshit, bare klar simpelt snak om hvad der foregår denne gang

Nogle reelle taler om denne udnyttelse, som Bluebox-sikkerhedsteamet opdagede, er nødvendigt. Den første ting at vide er, at du sandsynligvis er berørt. Det er en udnyttelse, der fungerer på enhver enhed, der ikke er blevet lappet siden Android 1.6. Hvis du har rodfæstet og ROM'et din telefon, kan du frit ignorere alt dette. Intet af dette tæller for dig, fordi der er et helt andet sæt af sikkerhedsproblemer, der følger med root og brugerdefinerede ROMs, som du kan bekymre dig om.

Hvis du ikke har det berygtede tilladelsesfelt "Ukendte kilder" markeret i dine indstillinger, betyder det ikke noget for dig. Fortsæt, og føl dig fri til at være lidt selvtilfreds og selvretfærdig - du fortjener det for at undgå sidelæsning hele denne tid i tilfælde af, at noget som dette kunne ske. Hvis du ikke ved, hvad det betyder, så spørg nogen.

For resten af ​​os skal du læse forbi pausen.

Mere: IDG News Service.

Hvad er det?

Alle apps på din Android er underskrevet med en kryptografisk nøgle. Når det er tid til at opdatere den app, skal den nye version have den samme digitale signatur som den gamle, ellers overskrives den ikke. Du kan med andre ord ikke opdatere den. Der er ingen undtagelser, og udviklere, der mister deres signaturnøgle, skal oprette en splinterny app, som vi bliver nødt til at downloade igen. Det betyder, at man starter fra nul. Alle nye downloads, alle nye anmeldelser og ratings. Det er ikke en triviel sag.

Systemapps - dem, der kom installeret på din telefon fra HTC eller Samsung eller Google - har også en nøgle. Disse apps har ofte komplet administratoradgang til alt på din telefon, fordi de er betroede apps fra producenten. Men de er stadig bare apps.

Følger mig stadig?

Det, vi taler om nu, hvad Bluebox taler om, er en metode til at rive en Android-app op og ændre koden uden at forstyrre den kryptografiske nøgle. Vi glæder os over, når hackere kommer rundt på låste bootloadere, og dette er den samme form for udnyttelse. Når du låser noget, vil andre finde en vej ind, hvis de prøver hårdt nok. Og når din platform er den mest populære på planeten, prøver folk meget hårdt.

Så nogen kan tage et systemapplikation fra en telefon. Bare træk det lige ud. Ved hjælp af denne udnyttelse kan de redigere det for at gøre grimme ting - give det et nyt versionnummer og pakke det sammen igen, mens de holder den samme, gyldige signaturnøgle. Derefter kan du potentielt installere denne app lige overfor din eksisterende kopi, og du har nu en app designet til at gøre dårlige ting, og den har fuld adgang til hele dit system. Hele tiden ser appen ud og opfører sig normalt - du vil aldrig vide, at noget fiskigt foregår.

Yikes.

Hvad gøres ved det?

Folk på Bluebox fortalte hele Open Handset Alliance om dette tilbage i februar. Google og OEM'er er ansvarlige for at lappe ting for at forhindre det. Samsung gjorde sin del med Galaxy S4, men enhver anden telefon, de sælger, er sårbar. HTC og One gjorde ikke klippet, så alle HTCs telefoner er sårbare. Faktisk er enhver telefon undtagen Samsung Touchwiz-version Galaxy S4 sårbar.

Google har endnu ikke opdateret Android for at løse dette problem. Jeg kan forestille mig, at de arbejder hårdt med det - se problemerne Chainfire har gennemgået rodfæstelse af Android 4.3. Men Google sad heller ikke ved at ignorere det. Google Play-butikken er blevet “lappet”, så ingen manipulerede apps kan uploades til Googles servere. Det betyder, at enhver app, du downloader fra Google Play, er ren - i det mindste hvad angår netop denne udnyttelse. Men steder som Amazon, Slide Me og selvfølgelig alle de knækkede APK-fora derude er vidt åbne, og enhver applikation kan have dårlig JuJu inde i det.

Så dette er en virkelig big deal?

Ja, det er en enorm aftale. Og på samme tid, nej, det er det virkelig ikke.

Google lapper den måde, Android opdaterer apps eller den måde, de er underskrevet på. I dette kat-og-mus-spil er dette en normal forekomst. Google frigiver software, hackere (både den gode art og den dårlige art) forsøger at udnytte den, og når de gør, ændrer Google koden. Sådan fungerer software, og denne slags ting bør forventes, når du har nok smarte mennesker, der prøver at bryde ind.

På den anden side kan den telefon, du har nu, aldrig nogensinde se en opdatering til at løse dette. Helvede, det tog Samsung næsten et år at lappe browseren mod en udnyttelse, der kunne slette alle dine brugerdata på bare nogle af dens telefoner. Hvis du har en telefon, som du forventer at blive opdateret til Android 4.3, vil du sandsynligvis blive opdateret. Hvis ikke, er det nogen gæt. Det er dårligt - meget dårligt. Jeg prøver ikke at slagge på de mennesker, der laver vores telefoner, men sandheden er sandheden.

Hvad kan jeg gøre?

• Download ikke nogen apps uden for Google Play.
• Download ikke nogen apps uden for Google Play.
• Download ikke nogen apps uden for Google Play.
• Faktisk skal du gå videre og slukke for kendte kilder, hvis du vil. Jeg gjorde. Alt andet gør dig sårbar. Nogle "Anti-Virus" -apper kontrollerer, om du har ukendte kilder aktiveret, hvis du ikke er sikker. Gå ind på foraene og find ud af, hvilken alle alle siger er bedst, hvis du har brug for det.
• Udtryk din utilfredshed med ikke at få vigtige sikkerhedsopdateringer til din telefon. Især hvis du stadig er på den to-årige (eller tre-år-hej Canada!) Kontrakt.
• Rot din telefon, og installer en ROM, der har en form for fix - de populære vil sandsynligvis have meget snart.

Så ikke få panik. Men vær proaktiv og brug en vis sund fornuft. Nu er det et rigtig godt tidspunkt at stoppe med at installere krakede apps, fordi de mennesker, der laver krakningen, er den samme slags mennesker, der kunne sætte ond kode i appen. Hvis du får opdateringsmeddelelser, der kommer fra et andet sted end Google Play, skal du fortælle nogen. Fortæl os, hvis du har brug for det. Find ud af de mennesker, der forsøger at videregive disse udbytter og give dem en tung dosis af offentlig skam og eksponering. Kakerlakker hader lyset.

Dette vil passere, som sikkerhedskræmmer altid gør, men en anden træder ind for at fylde sine sko. Det er dyrets natur. Bliv sikker fyrene.