Ang kahulugan ng pinakabagong takot sa seguridad ng android 'master key'

Walang pag-ikot, walang kalokohan, malinaw na simpleng pag-uusap tungkol sa kung ano ang nangyayari sa oras na ito

Ang ilang tunay na pag-uusap tungkol sa pagsasamantala na natuklasan ng koponan ng seguridad ng Bluebox ay kinakailangan. Ang unang dapat malaman ay malamang naapektuhan ka. Ito ay isang pagsasamantala na gumagana sa bawat aparato na hindi pa naka-patched mula pa sa Android 1.6. Kung nag-ugat ka at tinaguri ng ROM ang iyong telepono, maaari mong malaya na balewalain ang lahat ng ito. Wala sa mga bilang na ito para sa iyo, dahil mayroong isang buong magkakaibang hanay ng mga alalahanin sa seguridad na nanggagaling sa ugat at pasadyang mga ROM para sa iyo na mag-alala.

Kung wala kang kamangha-manghang kahon ng pahintulot na "Hindi kilalang Pinagmumulan" na naka-check off sa iyong mga setting, ang lahat ay nangangahulugang wala sa iyo. Magdala, at huwag mag-atubiling maging isang maliit na smug at matuwid sa sarili - nararapat mo ito para sa eschewing sideloading sa lahat ng oras na ito kung sakaling may mangyari na ganito. Kung hindi mo alam kung ano ang ibig sabihin nito, magtanong sa isang tao.

Para sa iba sa amin, basahin ang nakalipas na pahinga.

Dagdag pa: IDG News Service.

Ano ito?

Ang lahat ng mga app sa iyong Android ay nilagdaan gamit ang isang cryptographic key. Kapag oras na upang mai-update ang app na iyon, ang bagong bersyon ay dapat magkaroon ng parehong digital na pirma bilang ang luma o hindi ito magpapatungan. Hindi mo ito mai-update, sa madaling salita. Walang mga pagbubukod, at ang mga developer na nawalan ng kanilang susi sa pag-sign ay kailangang lumikha ng isang bagong bagong app na kailangan nating i-download muli. Iyon ay nangangahulugang nagsisimula sa zero. Lahat ng mga bagong pag-download, lahat ng mga bagong pagsusuri at rating. Ito ay hindi isang bagay na walang halaga.

Ang mga application ng system - ang mga na-install sa iyong telepono mula sa HTC o Samsung o Google - ay mayroon ding isang susi. Ang mga app na ito ay madalas na may kumpletong pag-access ng administrator sa lahat sa iyong telepono, dahil ang mga ito ay pinagkakatiwalaang mga app mula sa tagagawa. Ngunit ang mga ito ay pa rin apps.

Sumusunod pa rin ako?

Ang pinag-uusapan natin ngayon, kung ano ang pinag-uusapan ng Bluebox, ay isang paraan upang mapunit ang pagbukas ng isang Android app at baguhin ang code nang hindi nakakagambala sa key ng cryptographic. Masaya kami kapag ang mga hacker ay nakakaligid sa mga naka-lock na mga bootload, at ito ay ang parehong uri ng pagsasamantala. Kapag nag-lock ka ng isang bagay, ang iba ay makakahanap ng isang paraan kung sinusubukan nila nang sapat. At kapag ang iyong platform ay pinakapopular sa planeta, sinisikap ng mga tao ang napakahirap.

Kaya, ang isang tao ay maaaring kumuha ng isang aplikasyon ng system mula sa isang telepono. Hilahin mo lang agad. Gamit ang pagsasamantala na ito, maaari nila itong mai-edit upang gawin ang mga bastos na bagay - bigyan ito ng isang bagong numero ng bersyon, at i-pack ito nang magkasama habang pinapanatili ang pareho, wastong pag-sign key. Maaari mong ma-install ang potensyal na app na ito sa itaas ng iyong umiiral na kopya, at mayroon ka na ngayong isang app na idinisenyo upang makagawa ng masasamang bagay at kumpleto itong pag-access sa iyong buong system. Sa buong oras, ang app ay tumingin at kumilos nang normal - hindi mo malalaman ang isang bagay na kakaibang nangyayari.

Yikes.

Ano ang ginagawa tungkol dito?

Ang mga tao sa Bluebox ay nagsabi sa buong Open Handset Alliance tungkol dito sa Pebrero. Ang Google at OEM ay may pananagutan sa pag-patching ng mga bagay upang maiwasan ito. Ginawa ng Samsung ang bahagi nito sa Galaxy S4, ngunit ang bawat iba pang mga telepono na ibinebenta nila ay mahina laban. Ang HTC at ang Isa ay hindi gumawa ng hiwa, kaya lahat ng mga telepono ng HTC ay mahina. Sa katunayan, ang bawat telepono maliban sa bersyon ng Samsung Touchwiz na Galaxy S4 ay mahina laban.

Hindi pa na-update ng Google ang Android upang i-patch ang isyung ito. Akala ko nagsusumikap sila dito - tingnan ang mga isyu na napasa ng Chainfire sa Android 4.3. Ngunit ang Google ay hindi umupo at hindi pinansin. Ang Google Play store ay "naka-patched" upang hindi mai-upload ang mga app sa mga server ng Google. Nangangahulugan ito na ang anumang app na iyong nai-download mula sa Google Play ay malinis - hindi bababa sa kung saan nababahala ang partikular na pagsasamantala. Ngunit ang mga lugar tulad ng Amazon, Slide Me, at syempre lahat ng mga basag na mga forum sa APK ay may malawak na bukas at ang bawat aplikasyon ay maaaring magkaroon ng masamang JuJu sa loob nito.

Kaya ito ay isang talagang malaking deal?

Oo malaking deal ito. At sa parehong oras, hindi, hindi talaga.

I-patch ng Google ang paraan ng pag-update ng mga app ng Android o ang paraan ng pag-sign in. Sa larong pusa-at-mouse na ito, ito ay isang normal na pangyayari. Inilabas ng Google ang software, ang mga hacker (kapwa ang mabubuting uri at masamang uri) ay subukang pagsamantalahan ito, at kapag ginawa nila ang Google ay nagbago ang code. Iyon ay kung paano gumagana ang software, at ang ganitong uri ng bagay ay dapat asahan kapag mayroon kang sapat na matalinong mga tao na sinusubukang masira.

Sa kabilang banda, ang telepono na mayroon ka ngayon ay maaaring hindi pa nakakakita ng isang pag-update upang ayusin ito. Impiyerno, kinuha ng Samsung halos isang taon upang i-patch ang browser laban sa isang pagsasamantala na maaaring mabura ang lahat ng iyong data ng gumagamit sa ilan lamang sa mga telepono nito. Kung mayroon kang isang telepono na inaasahan mong mai-update sa Android 4.3, malamang na mai-patched ka. Kung hindi, ito ay hulaan ng sinuman. Masama iyon - napakasama. Hindi ko sinusubukan na salisin ang mga taong gumagawa ng aming mga telepono, ngunit ang katotohanan ay katotohanan.

Ano angmagagawa ko?

• Huwag i-download ang anumang mga app sa labas ng Google Play.
• Huwag i-download ang anumang mga app sa labas ng Google Play.
• Huwag i-download ang anumang mga app sa labas ng Google Play.
• Sa katunayan, magpatuloy at patayin ang pahintulot ng Mga Hindi Kilalang Pinagmulan kung gusto mo. Ginawa ko. Ang anumang bagay ay iniwan ka ng mahina. Ang ilang mga "Anti-Virus" na apps ay susuriin kung mayroon kang hindi kilalang mga mapagkukunan kung hindi ka sigurado. Pumasok sa mga forum at alamin kung alin ang sinasabi ng lahat na ang pinakamahusay kung kailangan mo.
• Ipahayag ang iyong pagkadismaya sa hindi pagkuha ng mahahalagang pag-update ng seguridad para sa iyong telepono. Lalo na kung nasa loob ka pa rin ng dalawang taong iyon (o tatlong taong - hello Canada!) Na kontrata.
• I-root ang iyong telepono, at mag-install ng isang ROM na may ilang uri ng pag-aayos - ang mga sikat ay malamang na sa lalong madaling panahon.

Kaya huwag mag-panic. Ngunit maging aktibo at gumamit ng ilang pang-unawa. Ngayon ay isang magandang oras upang ihinto ang pag-install ng mga basag na apps, dahil ang mga tao na gumagawa ng pag-crack ay ang parehong uri ng mga tao na maaaring maglagay ng masamang code sa app. Kung nakakakuha ka ng anumang mga abiso sa pag-update na nagmula sa isang lugar maliban sa Google Play, sabihin sa isang tao. Sabihin sa amin kung kailangan mo. Kilalanin ang mga taong nagsisikap na ipasa ang mga pagsasamantala at bigyan sila ng isang mabibigat na dosis ng pampublikong paghihiya at pagkakalantad. Ang mga ipis ay kinamumuhian ang ilaw.

Ito ay pumasa tulad ng palaging mga scares ng seguridad, ngunit may isa pang hakbang upang punan ang mga sapatos nito. Iyon ang likas na katangian ng hayop. Manatiling ligtas guys.