Ondsindede filer har igen fundet vej ind i Android Market, hvor et sæt applikationer blev kapret, reverse engineering med ondsindet kode indsprøjtet og offentliggjort sammen med de legitime applikationer.
To ting skal nævnes foran - Google har allerede fjernet apps fra markedet, og denne gang påvirkede de kun brugere i Kina, hvor de også stammer fra. Hvis du læser denne historie, er du sandsynligvis sikker og har aldrig været i fare. Men dette er stadig en stor bekymring. Et sæt dårlige fyre (det er min sikker-til-arbejde version) var i stand til at de-kompilere apps fra en legit udvikler, indsætte en kode, der sender SMS-beskeder til en kinesisk abonnementstjeneste, og tog derefter nogle virkelig geniale skridt for at holde alt skjult for brugeren. Det vil ske, fordi alt, hvad der er elektronisk og populært nok, er et mål. Den del, der vedrører, er, at disse er ved at komme vej ind på Android Market.
Tillad mig at have et par hundrede ord med dig om det efter pausen.
Kilde: AegisLabs via Sophos; Tak, Tony Bag o 'Donuts!
Jeg er splittet. Som bruger og på et personligt plan siger jeg, at alt er åbent og tvinger brugerne til at være flittige og kun installere apps, de har tillid til, uanset hvor de kommer fra. Lær, hvad tilladelserne er, og hvorfor en app muligvis har brug for dem (dvs. Adobe Reader). Men som en blogger og (forhåbentlig) respekteret Android-autoritet, har jeg et ansvar over for vores læsere at ønske, hvad der er bedst for dem. Det er jer. Mange af jer er respekterede Android-myndigheder i din egen ret og har ikke noget problem at skelne, hvad der er sikkert og hvad der ikke er. Mange andre er ikke, og er afhængige af Android Central og andre internetressourcer for at tilbyde gode råd om, hvordan man forbliver sikker. Dette efterlader mig lidt i en pickle.
Mens jeg læste de forskellige sikkerhedspublikationer om denne, kom jeg på en rigtig interessant idé fra Vanja Svajcer hos Sophos. Hans idé er enkel og let at implementere - hvad vi har brug for er to sæt signaturnøgler. Programmer, der ønsker eller har brug for at gøre ting som at sende SMS-beskeder, eller lege rundt på din kontaktliste, skal bruge et sæt verificerede nøgler, der er bundet til en legitim udviklerkonto, der er godkendt af Google. Lad fart-apps og temaer fortsætte med at bruge brugergenererede nøgler - ikke tving hobbyudviklere til at hoppe gennem nogen bøjler for befolkningen i Mountain View, hvis de ikke vil gøre noget, der kan skabe et potentielt sikkerhedsproblem. Men i det øjeblik en app vil have adgang til din telefonbog eller bruge din GMail-autorisationstegn, skal du kontrollere underskriftsnøglen og verificere den. Hold brugerne i sikkerhed, så forbliver de glade. Glade brugere køber flere apps og flere Android-produkter. Raketvidenskab er det ikke. Vanja ramte neglen hårdt på hovedet med denne - hvad siger I, Google?
Anyo, denne er over og færdig. Hvis du er nysgerrig, her er en liste over de berørte applikationer. Vær opmærksom på, at de alle straks blev fjernet fra markedet og kun berørte brugere med et kinesisk landskab og telefonnummer.
- iBook
- iCartoon
- LoveBaby
- 3D Cube horror frygtelig
- Sea Ball
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- imin
- iGuide
Vi holder øje med tingene og fortæller dig det næste gang det sker. Og der kommer næste gang - afvekslingen for at være i stand til at have kick-ass-apps som Handcent har apps, der bruger de samme funktioner og åbenhed for ting, vi hellere vil have, at de ikke gjorde. På dette tidspunkt bliver jeg nødt til at foreslå to ting:
- Brug en "virusscanner". Ja, jeg ved, at der ikke er nogen vira til Android, men navnene sætter sig fast. Alle indtil videre sikkerhedsspørgsmål har krævet, at slutbrugeren ønsker at installere dem. Du bliver ikke inficeret med noget bare ved at bruge din telefon. Der er flere på markedet at vælge imellem. De fungerer alle, så kontroller funktionerne i hver og vælg. Så vær glad for, at vi har dem til at gøre det beskidte arbejde for os.
- Installer ikke nogen apps, du ikke burde være. Ja, det er fristende, og vi gjorde det forholdsvis let med Sideload Wonder Machine (men det var ikke min hensigt!). Sikkerhedsbloggere blæser ikke bare røg, når de advarer dig om dette. Hvis du er i stand til, skal du ramme et af disse pirat-appfora og downloade en håndfuld, så reverse engineering dem og sammenligne dem med de officielle versioner. Hvis du ikke er i stand, skal du bare stole på os. Cirka halvdelen af dem har nogle alvorlige forskelle i koden. Hold fast ved apps, du har tillid til. Eller hold dig til markedet - hvis du sidder fast med en trojansk, vil Google rette dig op. Udviklerne fortjener ikke kun de få bukke, de beder om deres hårde arbejde, du vil være sikrere i sidste ende.
