Понимание последней андроидной «мастер-ключа» паники безопасности

Не крутись, не чушь собачья, просто читай простые разговоры о том, что происходит в этот раз

Нужны некоторые реальные разговоры об этом эксплойте, обнаруженном командой безопасности Bluebox. Первое, что нужно знать, это то, что вы, вероятно, затронуты. Это эксплойт, который работает на каждом устройстве, которое не было исправлено начиная с Android 1.6. Если вы рутировали и ROM'd свой телефон, вы можете свободно игнорировать все это. Ничто из этого не имеет значения для вас, потому что существует целый ряд проблем безопасности, связанных с корневыми и пользовательскими ПЗУ, о которых вам стоит беспокоиться.

Если в ваших настройках не установлен флажок «Неизвестные источники», все это ничего не значит для вас. Продолжайте, и не стесняйтесь быть немного самодовольным и самодовольным - вы заслуживаете его за то, что вы отказались от ненужной загрузки все это время на случай, если что-то подобное может произойти. Если вы не знаете, что это значит, спросите кого-нибудь.

Для остальных из нас, прочитайте после перерыва.

Подробнее: Служба новостей IDG.

Что это?

Все приложения на вашем Android подписаны криптографическим ключом. Когда пришло время обновить это приложение, новая версия должна иметь ту же цифровую подпись, что и старая, иначе она не будет перезаписана. Другими словами, вы не можете его обновить. Нет никаких исключений, и разработчики, которые потеряли свой подписывающий ключ, должны создать совершенно новое приложение, которое мы должны загрузить снова и снова. Это значит начинать с нуля. Все новые загрузки, все новые обзоры и рейтинги. Это не тривиальный вопрос.

Системные приложения - те, которые были установлены на вашем телефоне от HTC, Samsung или Google - также имеют ключ. Эти приложения часто имеют полный доступ администратора ко всему на вашем телефоне, потому что они являются доверенными приложениями от производителя. Но они все еще просто приложения.

Все еще следуете за мной?

То, о чем мы сейчас говорим, о чем говорит Bluebox, - это способ открыть приложение Android и изменить код, не нарушая криптографический ключ. Мы приветствуем, когда хакеры обходят заблокированные загрузчики, и это тот же самый подвиг. Когда вы что-то блокируете, другие найдут выход, если будут стараться изо всех сил. И когда ваша платформа самая популярная на планете, люди очень стараются.

Итак, кто-то может взять системное приложение с телефона. Просто вытащите это прямо. Используя этот эксплойт, они могут отредактировать его, чтобы сделать неприятные вещи - присвоить ему новый номер версии и собрать его вместе, сохранив тот же действительный ключ подписи. Затем вы можете установить это приложение прямо поверх существующей копии, и теперь у вас есть приложение, предназначенное для совершения плохих действий, и оно имеет полный доступ ко всей вашей системе. Все время приложение будет выглядеть и вести себя нормально - вы никогда не узнаете, что происходит что-то подозрительное.

Хлоп.

Что с этим делать?

Ребята из Bluebox рассказали об этом всему альянсу Open Handset еще в феврале. Google и OEM-производители несут ответственность за исправления ошибок. Samsung сделал свое дело с Galaxy S4, но любой другой телефон, который они продают, уязвим. HTC и One не сделали разрез, поэтому все телефоны HTC уязвимы. Фактически, каждый телефон, кроме Samsung Touchwiz версии Galaxy S4, уязвим.

Google еще не обновил Android, чтобы исправить эту проблему. Я полагаю, что они усердно работают над этим - посмотрите на проблемы, которые Chainfire прошел через рутирование Android 4.3. Но Google тоже не сидел сложа руки и игнорировал это. Магазин Google Play был «исправлен», так что никакие подделанные приложения не могут быть загружены на серверы Google. Это означает, что любое приложение, которое вы загружаете из Google Play, является чистым - по крайней мере, когда речь идет об этом конкретном эксплойте. Но такие места, как Amazon, Slide Me и, конечно, все эти взломанные APK-форумы широко открыты, и в каждом приложении может быть плохой JuJu.

Так это действительно большое дело?

Да, это огромная сделка. И в то же время нет, это действительно не так.

Google исправит способ обновления приложений Android или способ их подписи. В этой игре в кошки-мышки это нормальное явление. Google выпускает программное обеспечение, хакеры (как хорошие, так и плохие) пытаются использовать его, и когда они это делают, Google меняет код. Вот как работает программное обеспечение, и такого рода вещи следует ожидать, когда у вас достаточно умных людей, пытающихся взломать.

С другой стороны, телефон, который у вас есть, может никогда не увидеть обновления, чтобы исправить это. Черт, Samsung потребовалось почти год, чтобы исправить браузер от эксплойта, который может стереть все ваши пользовательские данные только на некоторых его телефонах. Если у вас есть телефон, который вы хотите обновить до Android 4.3, вы, вероятно, получите исправления. Если нет, это чье-то предположение. Это плохо - очень плохо. Я не пытаюсь завалить людей, которые делают наши телефоны, но правда это правда.

Что я могу сделать?

• Не загружайте никаких приложений за пределами Google Play.
• Не загружайте никаких приложений за пределами Google Play.
• Не загружайте никаких приложений за пределами Google Play.
• На самом деле, продолжайте и отключите разрешение Неизвестные источники, если хотите. Я сделал. Все остальное делает вас уязвимым. Некоторые приложения «Антивирус» проверят, включены ли у вас неизвестные источники, если вы не уверены. Зайдите на форумы и узнайте, какой из них, по вашему мнению, лучше всего подходит для вас.
• Выразите свое недовольство тем, что не получили необходимые обновления безопасности для своего телефона. Особенно, если вы все еще заключаете двухлетний (или трехлетний - привет, Канада!) Контракт.
• Рутируйте свой телефон и установите ROM, который имеет какое-то исправление - популярные, скорее всего, появятся очень скоро.

Так что не паникуйте. Но будьте инициативными и используйте здравый смысл. Сейчас самое подходящее время прекратить установку взломанных приложений, потому что люди, занимающиеся взломом, - это те же самые люди, которые могут добавлять в приложение злой код. Если вы получаете какие-либо уведомления об обновлениях, поступающие из других мест, кроме Google Play, сообщите об этом кому-нибудь. Скажите нам, если вам нужно. Выясните людей, которые пытаются передать эти подвиги, и дайте им большую дозу публичного позора и разоблачения. Тараканы ненавидят свет.

Это пройдет, как это всегда делают страхи, но другой вмешается, чтобы заполнить свою обувь. Это природа зверя. Оставайтесь в безопасности, ребята.