Haitalliset tiedostot ovat jälleen kerran löytäneet tiensä Android Marketiin, ja joukko sovelluksia kaappaavat, suunnitellaan käänteisesti siten, että haittaohjelmat syötetään, ja julkaistaan laillisten sovellusten rinnalla.
Kaksi asiaa on mainittava etukäteen - Google on jo poistanut sovellukset markkinoilta, ja tällä kertaa ne vaikuttivat vain Kiinan käyttäjiin, joista ne myös ovat lähtöisin. Jos luet tätä tarinaa, olet todennäköisesti turvassa eikä koskaan ollut vaarassa. Mutta tämä on edelleen suuri huolenaihe. Joukko pahoja kavereita (se on minun turvalliseen työhön tarkoitettu versio) pystyi purkamaan sovelluksia lailliselta kehittäjältä, laittamaan koodiin, joka lähettää tekstiviestejä kiinalaiseen tilauspalveluun, ja ryhtyi sitten todella nerokkaisiin toimiin pitääkseen yllä kaikki piilotettu käyttäjältä. Se tapahtuu, koska kaikki, mikä on elektronista ja tarpeeksi suosittua, on tavoite. Huoli on vain siitä, että nämä ovat siirtymässä Android Marketiin.
Saanen pitää muutaman sadan sanan teidän kanssanne tauon jälkeen.
Lähde: AegisLabs Sophosin kautta; Kiitos, Tony Bag o Donuts!
Olen revitty. Käyttäjänä ja henkilökohtaisella tasolla sanon, että jätä kaikki avoimeksi ja pakota käyttäjät olemaan ahkera ja asentamaan vain luottamiaan sovelluksia riippumatta siitä, mistä he ovat kotoisin. Opi, mitkä oikeudet ovat ja miksi sovellus tarvitsee tai ei tarvitse niitä (esim. Adobe Reader). Mutta bloggaajana ja (toivottavasti) kunnioitettuna Android-viranomaisena minulla on vastuu lukijoillemme siitä, että haluamme, mikä heille on parasta. Se olet kaverit. Monet teistä kunnioittavat Android-viranomaisia omassa oikeudessanne, eikä heillä ole mitään ongelmia selvittää, mikä on turvallista ja mikä ei. Monet muut eivät ole, ja tarjoavat hyviä neuvoja turvallisuuden ylläpitämiseksi Android Centralista ja muista Internet-lähteistä. Tämä jättää minut hieman suolakurkkuun.
Lukeessani erilaisia turvallisuusjulkaisuja tästä, tapasin todella mielenkiintoisen idean Vanja Svajcerilta Sophosissa. Hänen ajatus on yksinkertainen ja helppo toteuttaa - tarvitsemme kaksi sarjaa allekirjoitusavaimia. Sovellusten, jotka haluavat tai joiden on tehtävä esimerkiksi SMS-viestejä tai pelattava yhteystietoluetteloasi, on käytettävä vahvistettuja avaimia, jotka on sidottu lailliseen kehittäjätiliin, jonka Google on hyväksynyt. Anna pieru-sovellusten ja teemojen käyttää käyttäjien luomia avaimia jatkuvasti - älä pakota harrastuksen kehittäjiä hyppäämään Mountain Viewin ihmisten kehien läpi, jos he eivät aio tehdä mitään, mikä voi aiheuttaa mahdollisen tietoturvaongelman. Mutta kun sovellus haluaa käyttää puhelinluetteloa tai käyttää GMail-tunnustasi authToken, tarkista allekirjoitusavain ja vahvista se. Pidä käyttäjät turvassa, ja he tulevat olemaan onnellinen. Hyvät käyttäjät ostavat lisää sovelluksia ja lisää Android-tuotteita. Rakettitiede ei ole. Vanja lyö naulan suorana pään päällä tällä - mitä sanotte, Google?
Anyhoo, tämä on ohi ja valmis. Jos olet utelias, tässä on luettelo kyseisistä sovelluksista. Huomaa, että ne kaikki poistettiin nopeasti markkinoilta ja koskivat vain käyttäjiä, joilla on kiinalainen sijainti ja puhelinnumero.
- varaan
- iCartoon
- Rakkauslapsi
- 3D Cube kauhu kauhea
- Meripallo
- iCalendar
- IMatch
- Ravista taukoa
- ShakeBanger
- imiiniä
- iGuide
Seuraamme asioita ja ilmoitamme sinulle seuraavan kerran, kun se tapahtuu. Ja siellä on seuraava kerta - kompromissi siitä, että voimme saada kick-ass-sovelluksia, kuten Handcent, saavat sovelluksia, jotka käyttävät samoja toimintoja ja avoimuutta asioihin, joita emme mieluummin tekisivät. Tässä vaiheessa minun on ehdotettava kahta asiaa:
- Käytä "virus" -lukijaa. Kyllä, tiedän, että Androidilla ei ole viruksia, mutta nimet eräänlainen juuttuvat. Kaikki tähän mennessä tehdyt tietoturvaongelmat ovat vaatineet loppukäyttäjää haluamaan asentaa ne. Et saa tartuntaa mihinkään vain puhelimellasi. Markkinoilla on useita, joista valita. Ne kaikki toimivat, joten tarkista jokaisen ominaisuudet ja tee valinta. Sitten on iloinen, että meillä on heitä tekemään likaista työtä meidän puolestamme.
- Älä asenna mitään sovelluksia, joiden sinun ei pitäisi olla. Kyllä, se on houkuttelevaa ja teimme siitä melko helpon Sideload Wonder Machine -sovelluksella (mutta se ei ollut minun aikomukseni!). Turvallisuusbloggerit eivät vain puhalta savua, kun he varoittavat sinua tästä. Jos pystyt, napsauta yhtä näistä merirosvo-sovellusfoorumeista ja lataa kourallinen. Suunnittele sitten ne ja vertaa niitä virallisiin versioihin. Jos et pysty, luota vain meihin. Noin puolella heistä on joitain vakavia eroja koodissa. Pidä kiinni luotetuista sovelluksista. Tai kiinni markkinoilla - jos takertuit troijalaiseen, Google korjaa sinut. Sen lisäksi, että kehittäjät ansaitsevat muutaman dollarin, jota he vaativat kovasta työstään, olet lopulta turvallisempi.
