Logo fi.androidermagazine.com
Logo fi.androidermagazine.com
» Uutiset
Uutiset

Hyödynnä uusinta androidin "pääavaimen" tietoturvaa

Hyödynnä uusinta androidin "pääavaimen" tietoturvaa

Sisällysluettelo:

Anonim

Ei spinää, ei paskaa, vain selkeä yksinkertainen puhe siitä, mitä tällä kertaa tapahtuu

Tarvitaan todellista keskustelua tästä hyödyntämisestä, jonka Blueboxin tietoturvatiimi löysi. Ensimmäinen asia on tietää, että olet todennäköisesti vaikuttanut. Se on hyväksikäyttö, joka toimii kaikissa laitteissa, joita ei ole korjattu Android 1.6: n jälkeen. Jos olet juurtunut ja ROM-puhelimeesi, voit ohittaa tämän kaiken vapaasti. Mikään näistä ei ole sinulle tärkeä asia, koska juurien ja mukautettujen ROM-levyjen mukana tulee aivan erilaisia ​​turvallisuusongelmia, joista sinun on huolehdittava.

Jos sinulla ei ole pahamaineista tuntemattomia lähteitä -valintaruutua valittuna asetuksissa, tämä kaikki ei tarkoita sinulle mitään. Jatka ja ole vapaasti pieni savukko ja itsensä vanhurskas - ansaitset sen, että hän välttää sivukuormituksen koko tämän ajan, jos jotain tällaista voi tapahtua. Jos et tiedä mitä tämä tarkoittaa, kysy joku.

Muille meille lukekaa tauko.

Lisää: IDG News Service.

Mikä se on?

Kaikki Android-sovelluksesi on allekirjoitettu salausavaimella. Kun on aika päivittää kyseinen sovellus, uudella versiolla on oltava sama digitaalinen allekirjoitus kuin vanhalla, tai se ei korvaa. Et voi päivittää sitä, toisin sanoen. Ei ole poikkeuksia, ja allekirjoittamisavaimensa menettäneiden kehittäjien on luotava uusi sovellus, joka meidän on ladattava uudestaan. Se tarkoittaa nollasta alkamista. Kaikki uudet lataukset, kaikki uudet arvostelut ja arvostelut. Se ei ole triviaalia.

Järjestelmäsovelluksilla - ne, jotka asennettiin puhelimeesi HTC: ltä, Samsungilta tai Googlelta - on myös avain. Näillä sovelluksilla on usein täydellinen järjestelmänvalvojan käyttöoikeus kaikkiin puhelimesi tuotteisiin, koska ne ovat valmistajan luottamuksia. Mutta ne ovat silti vain sovelluksia.

Seuraatko edelleen minua?

Nyt puhumme siitä, mistä Bluebox puhuu, on menetelmä repiä Android-sovellus ja muuttaa koodia häiritsemättä salausavainta. Hyvää, kun hakkerit kiertävät lukittuja käynnistyslaitteita, ja tämä on samanlaista hyväksikäyttöä. Kun lukitset jotain, muut löytävät tien, jos yrittävät tarpeeksi kovasti. Ja kun alustasi on planeetan suosituin, ihmiset yrittävät kovasti.

Joten joku voi ottaa järjestelmäsovelluksen puhelimesta. Vedä se vain ulos. Tätä hyväksikäyttöä käyttämällä he voivat muokata sitä tehdä ikäviä asioita - antaa sille uuden versionumeron ja pakata sen takaisin yhteen pitäen saman, voimassa olevan allekirjoitusavaimen. Voit sitten asentaa tämän sovelluksen oikein ylittääksesi olemassa olevan kopion, ja sinulla on nyt sovellus, joka on suunniteltu tekemään pahoja asioita, ja sillä on täysi käyttöoikeus koko järjestelmääsi. Koko ajan sovellus näyttää ja käyttäytyy normaalisti - et koskaan tiedä jotain hämärää tapahtuu.

Yikes.

Mitä sille tehdään?

Blueboxin ihmiset kertoivat koko Open Handset Alliancen tästä helmikuussa. Google ja OEM-valmistajat ovat vastuussa asioiden korjaamisesta sen estämiseksi. Samsung teki osuutensa Galaxy S4: llä, mutta kaikki muut heidän myymänsä puhelimet ovat haavoittuvia. HTC ja One eivät tehneet leikkausta, joten kaikki HTC: n puhelimet ovat haavoittuvia. Itse asiassa kaikki puhelimet, paitsi Samsung Touchwiz -versio Galaxy S4, ovat haavoittuvia.

Google ei ole vielä päivittänyt Androidia korjaamaan tämä ongelma. Mielestäni he työskentelevät kovasti sen suhteen - katso asiat, joita Chainfire on käynyt läpi juurruttamalla Android 4.3. Mutta Google ei istuutunut ohitse ja sivuuttanut sen. Google Play -kauppa on "ladattu", joten vääriä sovelluksia ei voi ladata Googlen palvelimille. Tämä tarkoittaa, että kaikki Google Playsta lataamasi sovellukset ovat puhtaita - ainakin kyseisen hyödyntämisen suhteen. Mutta paikat, kuten Amazon, Slide Me, ja tietysti kaikki siellä murtuneet APK-foorumit ovat auki ja kaikissa sovelluksissa voi olla huono JuJu.

Joten tämä on todella iso juttu?

Kyllä, se on valtava juttu. Ja samaan aikaan ei, se ei oikeastaan ​​ole.

Google laastuttaa tapaa, jolla Android päivittää sovelluksia tai tapaa, jolla ne allekirjoitetaan. Tässä kissan ja hiiren pelissä tämä on normaali tapaus. Google julkaisee ohjelmiston, hakkerit (sekä hyvät että huonot) yrittävät hyödyntää sitä, ja kun he tekevät, Google muuttaa koodin. Näin ohjelmisto toimii, ja tällaista asiaa pitäisi odottaa, kun sinulla on tarpeeksi älykkäitä ihmisiä, jotka yrittävät murtautua sisään.

Toisaalta puhelimesi, jota sinulla nyt on, ei välttämättä koskaan näe päivitystä tämän korjaamiseksi. Helvetti, Samsungin kesti melkein vuosi korjata selain sellaisen hyväksikäytön torjumiseksi, joka voisi poistaa kaikki käyttäjän tiedot vain joillakin sen puhelimista. Jos sinulla on puhelin, jonka odotat päivittävän Android 4.3 -versioon, saat todennäköisesti korjaustiedoston. Jos ei, se on kenenkään arvaus. Se on huono - erittäin huono. En yritä kuonata ihmisiä, jotka tekevät puhelimemme, mutta totuus on totuus.

Mitä voin tehdä?

  • Älä lataa sovelluksia Google Playn ulkopuolella.
  • Älä lataa sovelluksia Google Playn ulkopuolella.
  • Älä lataa sovelluksia Google Playn ulkopuolella.
  • Itse asiassa mene eteenpäin ja sammuta tuntemattomien lähteiden käyttöoikeus, jos haluat. Minä tein. Kaikki muu jättää sinut haavoittuvaiseksi. Jotkut virustorjuntaohjelmat tarkistavat, ovatko tuntemattomat lähteet käytössä, jos et ole varma. Pääset foorumeille ja selvitä, mikä jokaisen mukaan on parasta, jos tarvitset.
  • Ilmaise tyytymättömyyssi siihen, että et saa puhelimeesi välttämättömiä tietoturvapäivityksiä. Varsinkin jos olet edelleen kyseisen kahden vuoden (tai kolmen vuoden - hei Kanada!) Sopimuksella.
  • Juurista puhelimesi ja asenna ROM, jolla on jonkinlainen korjaus - suositut asennetaan todennäköisesti pian.

Joten älä paniikki. Ole kuitenkin aktiivinen ja käytä jotain järkeä. Nyt on todella hyvä aika lopettaa murtuneiden sovellusten asentaminen, koska halkeiluja tekevät ihmiset ovat samanlaisia ​​ihmisiä, jotka voisivat laittaa pahan koodin sovellukseen. Jos saat päivitysilmoituksia, jotka tulevat muusta paikasta kuin Google Playsta, kerro siitä jollekin. Kerro meille, jos tarvitset. Selvitä ihmiset, jotka yrittävät välittää näitä hyväksikäyttöjä ja antaa heille suuren annoksen julkista häpeää ja altistumista. Torakat vihaavat valoa.

Tämä kulkee kuten turvallisuuspelot aina, mutta toinen astuu täyttämään kengänsä. Se on pedon luonne. Pysy turvassa.

Uutiset

Toimittajan valinta