Вредоносные файлы снова попали в Android Market с набором приложений, которые были взломаны, подвергнуты обратной разработке с внедрением вредоносного кода и опубликованы вместе с легитимными приложениями.
Необходимо сразу упомянуть две вещи: Google уже удалил приложения с Маркета, и на этот раз они затронули только пользователей в Китае, откуда они также происходят. Если вы читаете эту историю, вы, вероятно, в безопасности и никогда не подвергались риску. Но это все еще большая проблема. Множество плохих парней (это моя безопасная для работы версия) смогли декомпилировать приложения от законного разработчика, вставить некоторый код, который отправляет SMS-сообщения в китайский сервис подписки, а затем предприняли несколько действительно изобретательных шагов, чтобы сохранить все скрыто от пользователя. Это произойдет, потому что все, что является электронным и достаточно популярным, является целью. Что касается того, что они пробиваются в Android Market.
Позвольте мне сказать вам несколько сотен слов об этом после перерыва.
Источник: AegisLabs через Sophos; Спасибо, Тони Бэг о Пончики!
Я разрываюсь. Как пользователь и на личном уровне я говорю, оставьте все открытым и заставьте пользователей быть усердными и устанавливать только те приложения, которым они доверяют, независимо от того, откуда они берутся. Узнайте, каковы разрешения и почему приложение может или не может нуждаться в них (например, Adobe Reader). Но, как блоггер и (надеюсь) уважаемый авторитет Android, я несу ответственность перед нашими читателями за то, что они хотят для них лучшего. Это вы, ребята. Многие из вас сами по себе являются уважаемыми авторитетами Android и не имеют проблем с распознаванием того, что безопасно, а что нет. Многие другие не являются и зависят от Android Central и других интернет-ресурсов, чтобы предложить хороший совет о том, как оставаться в безопасности. Это оставляет меня в некотором рассоле.
Читая различные публикации по безопасности об этом, я наткнулся на действительно интересную идею от Ваня Свайцер из Sophos. Его идея проста и легко реализуема - нам нужны два набора ключей для подписи. Приложения, которые хотят или должны делать такие вещи, как отправка SMS-сообщений или использование своего списка контактов, должны использовать набор проверенных ключей, привязанных к законной учетной записи разработчика, которая была одобрена Google. Пусть приложения и темы пердят продолжают использовать сгенерированные пользователем ключи - не заставляйте разработчиков хобби прыгать через любые обручи для людей в Mountain View, если они не собираются делать что-либо, что может создать потенциальную проблему безопасности. Но в тот момент, когда приложение хочет получить доступ к вашей телефонной книге или использовать ваш GMail authToken, проверьте ключ подписи и подтвердите его. Держите пользователей в безопасности, и они будут счастливы. Счастливые пользователи покупают больше приложений и продуктов Android. Ракетная наука это не так. Ваня воткнул гвоздь прямо в голову этим - что скажете, Google?
Во всяком случае, с этим покончено. Если вам интересно, вот список уязвимых приложений. Обратите внимание, что все они были быстро удалены с Маркета и затронули только пользователей с китайским языком и номером телефона.
- IBook
- iCartoon
- LoveBaby
- 3D Cube ужас ужасный
- Морской шар
- Анонсы
- IMatch
- Shake Break
- ShakeBanger
- я добываю
- iGuide
Мы будем следить за вещами и сообщим вам в следующий раз, когда это произойдет. И будет в следующий раз - компромисс между возможностью иметь офигенные приложения, такие как Handcent, будет иметь приложения, которые используют те же функции и открытость для вещей, которые мы предпочли бы, чтобы они этого не делали. На этом этапе мне нужно будет предложить две вещи:
- Используйте «вирусный» сканер. Да, я знаю, что для Android нет вирусов, но имена как бы застревают. Все проблемы безопасности до сих пор требовали, чтобы конечный пользователь захотел их установить. Вы не будете заражены ничем, просто используя свой телефон. На рынке есть несколько вариантов на выбор. Все они работают, поэтому проверьте возможности каждого и сделайте выбор. Тогда будьте рады, что они заставили нас сделать грязную работу за нас.
- Не устанавливайте приложения, которыми вы не должны быть. Да, это заманчиво, и мы сделали это довольно легко с Sideload Wonder Machine (но это не было моей целью!). Блоггеры безопасности не просто курят, когда предупреждают вас об этом. Если вы способны, зайдите на один из этих пиратских форумов приложений и загрузите несколько из них, а затем перепроектируйте их и сравните с официальными версиями. Если ты не способен, просто доверься нам. Около половины из них имеют некоторые серьезные различия в коде. Придерживайтесь приложений, которым вы доверяете. Или придерживайтесь Маркета - если вы застряли с трояном, Google исправит вас. Мало того, что разработчики заслуживают нескольких долларов, которые они просят за свою тяжелую работу, в конечном итоге вы будете в большей безопасности.
