Ang mga nakakahamong file na muli ay natagpuan ang kanilang mga paraan papunta sa Android Market, na may isang hanay ng mga application na na-hijack, reverse engineered with malicious code injected, and publish alongside the lehitimong aplikasyon.
Dalawang bagay na kailangang banggitin sa unahan - tinanggal na ng Google ang mga app mula sa Market, at sa oras na ito naapektuhan lamang nila ang mga gumagamit sa China, kung saan nagmula rin ito. Kung binabasa mo ang kuwentong ito, marahil ay ligtas ka at hindi kailanman nanganganib. Ngunit ito ay pa rin isang malaking pag-aalala. Ang isang hanay ng mga masasamang tao (iyon ang aking ligtas na para sa trabaho) na bersyon ay nagawang mag-de-compile ng mga app mula sa isang legit developer, ilagay sa ilang code na nagpapadala ng mga mensahe ng SMS sa isang serbisyo sa subscription sa Intsik, at pagkatapos ay gumawa ng ilang mga talagang mapanlikha na mga hakbang upang mapanatili lahat ng bagay na nakatago mula sa gumagamit. Mangyayari iyon, dahil ang lahat ng sapat na electronic at sikat ay isang target. Ang bahagi na tungkol dito ay ang mga ito ay nagsisimula sa Android Market.
Payagan akong magkaroon ng ilang daang mga salita sa iyo tungkol dito, pagkatapos ng pahinga.
Pinagmulan: AegisLabs sa pamamagitan ng Sophos; Salamat, Tony Bag o 'Donuts!
Napunit ako. Bilang isang gumagamit at sa isang personal na antas sinasabi ko na buksan ang lahat, at pilitin ang mga gumagamit na maging masigasig at mai-install lamang ang mga app na pinagkakatiwalaan nila, anuman ang nagmula. Alamin kung ano ang mga pahintulot, at kung bakit maaaring o hindi maaaring kailanganin sila ng isang app (ie Adobe Reader). Ngunit bilang isang blogger at (sana) iginagalang ang awtoridad ng Android, may responsibilidad ako sa aming mga mambabasa na nais kung ano ang pinakamahusay para sa kanila. Yan kayo guys. Marami sa iyo ay iginagalang ang mga awtoridad ng Android sa iyong sariling karapatan, at walang problema sa pag-unawa sa kung ano ang ligtas at kung ano ang hindi. Maraming iba pa ay hindi, at nakasalalay sa Central Central at iba pang mga mapagkukunan sa Internet upang mag-alok ng mahusay na payo sa kung paano manatiling ligtas. Iniwan ako nito ng kaunti sa isang atsara.
Habang binabasa ang iba't ibang mga publication ng seguridad tungkol sa isang ito, natagpuan ko ang isang talagang kawili-wiling ideya mula sa Vanja Svajcer sa Sophos. Ang kanyang ideya ay simple at madaling ipatupad - ang kailangan natin ay dalawang hanay ng mga susi sa pag-sign. Ang mga aplikasyon na nais o kailangang gawin ang mga bagay tulad ng pagpapadala ng mga mensahe ng SMS, o paglalaro sa listahan ng iyong contact ay dapat gumamit ng isang hanay ng mga na-verify na mga susi na nakatali sa isang lehitimong account ng developer na na-aprubahan ng Google. Hayaan ang mga umut-ot na apps at mga tema na patuloy na gamitin ang mga susi na nilikha ng gumagamit - huwag pilitin ang mga developer ng libangan na tumalon sa anumang mga hoops para sa mga tao sa Mountain View kung hindi sila gagawa ng anumang bagay na maaaring lumikha ng isang potensyal na isyu sa seguridad. Ngunit sa sandaling nais ng isang app na ma-access ang iyong libro sa telepono o gamitin ang iyong GMail authToken, suriin ang pag-sign key at i-verify ito. Panatilihing ligtas ang mga gumagamit, at mananatili silang masaya. Masayang gumagamit ang bumili ng higit pang mga app, at higit pang mga produkto ng Android. Ang agham ng rocket na ito ay hindi. Tinamaan ni Vanja ang kuko nang walang hiya sa ulo ng isang ito - ano ang sinasabi ninyo, Google?
Anyhoo, tapos na ito at tapos na. Kung mausisa ka, narito ang isang listahan ng mga apektadong aplikasyon. Alalahanin na silang lahat ay agad na tinanggal mula sa Market at apektado lamang ang mga gumagamit na may isang lokal na lokal at numero ng telepono.
- iBook
- iCartoon
- Pag-ibigBaby
- Nakakatakot ang 3D Cube
- Sea Ball
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- iMine
- iGuide
Titingnan namin ang mga bagay, at ipaalam sa iyo sa susunod na mangyayari ito. At magkakaroon ng susunod na oras - ang trade-off para sa pagkakaroon ng kick-ass apps tulad ng Handcent ay ang pagkakaroon ng mga app na gumagamit ng parehong mga pag-andar at pagiging bukas para sa mga bagay na hindi namin nagustuhan. Sa puntong ito, kailangan kong magmungkahi ng dalawang bagay:
- Gumamit ng isang "virus" scanner. Oo, alam kong wala ng anumang mga virus para sa Android, ngunit ang mga pangalan ng uri ay mapagmataas. Ang lahat ng mga isyu sa seguridad hanggang ngayon ay hiniling ang end-user na nais na mai-install ang mga ito. Hindi ka mahawaan ng anumang bagay sa pamamagitan lamang ng paggamit ng iyong telepono. Mayroong maraming sa Market upang pumili mula sa. Lahat sila ay gumagana, kaya suriin ang mga tampok ng bawat isa at gumawa ng isang pagpipilian. Pagkatapos ay magalak na gawin namin sila na gawin ang maruming gawain para sa amin.
- Huwag mag-install ng anumang mga app na hindi ka dapat. Oo, nakatutukso ito at ginawa naming medyo madali sa Sideload Wonder Machine (ngunit hindi iyon ang hangarin ko!). Ang mga blogger ng seguridad ay hindi lamang pumutok ang usok kapag binabalaan ka nila tungkol dito. Kung may kakayahan ka, pindutin ang isa sa mga forum ng pirate app at mag-download ng isang dakot, pagkatapos ay i-reverse ang mga engineer nito at ihambing ang mga ito laban sa mga opisyal na bersyon. Kung hindi ka may kakayahan, magtiwala ka lang sa amin. Halos sa kalahati ng mga ito ay may ilang mga seryosong pagkakaiba sa code. Dumikit sa mga app na pinagkakatiwalaan mo. O kaya ay manatili sa Market - kung natigil ka sa isang tropa ay aayusin ka ng Google. Hindi lamang nararapat ang mga nag-develop ng ilang mga bucks na hinihiling nila para sa kanilang pagsisikap, mas ligtas ka sa wakas.
