Zrozumienie najnowszego przerażenia bezpieczeństwa „kluczem głównym” Androida

Bez wirowania, bez bzdur, po prostu jasne proste opowiadanie o tym, co się dzieje w tym czasie

Potrzebna jest prawdziwa rozmowa na temat tego exploita, który odkrył zespół bezpieczeństwa Bluebox. Pierwszą rzeczą, którą należy wiedzieć, jest to, że prawdopodobnie masz na to wpływ. Jest to exploit, który działa na każdym urządzeniu, które nie zostało załatane od Androida 1.6. Jeśli zrootowałeś i ROMowałeś swój telefon, możesz zignorować to wszystko. Nie ma to dla ciebie znaczenia, ponieważ istnieje zupełnie inny zestaw problemów związanych z bezpieczeństwem, które są dostarczane z rootem i niestandardowymi ROMami, o które możesz się martwić.

Jeśli nie masz zaznaczonego w ustawieniach niesławnego pola uprawnień „Nieznane źródła”, wszystko to nic dla ciebie nie znaczy. Kontynuujcie i czuć się swobodnie, będąc nieco zadowolonymi z siebie i sprawiedliwymi - zasługujecie na to, aby przez cały czas unikać ładowania bocznego na wypadek, gdyby coś takiego się wydarzyło. Jeśli nie wiesz, co to znaczy, zapytaj kogoś.

Dla reszty z nas przeczytaj po przerwie.

Więcej: serwis informacyjny IDG.

Co to jest?

Wszystkie aplikacje na Androida są podpisane kluczem kryptograficznym. Gdy nadejdzie czas aktualizacji tej aplikacji, nowa wersja musi mieć taki sam podpis cyfrowy, jak stara, w przeciwnym razie nie zostanie zastąpiona. Innymi słowy, nie możesz go zaktualizować. Nie ma wyjątków, a programiści, którzy stracili klucz do podpisu, muszą stworzyć zupełnie nową aplikację, którą musimy pobrać od nowa. To znaczy, zaczynając od zera. Wszystkie nowe pliki do pobrania, wszystkie nowe recenzje i oceny. To nie jest banalna sprawa.

Aplikacje systemowe - te, które zostały zainstalowane w telefonie z HTC, Samsunga lub Google'a - również mają klucz. Te aplikacje często mają pełny dostęp administratora do wszystkiego w telefonie, ponieważ są zaufanymi aplikacjami producenta. Ale wciąż są to tylko aplikacje.

Nadal mnie śledzisz?

To, o czym teraz mówimy, o czym mówi Bluebox, to metoda otwierania aplikacji na Androida i zmiany kodu bez zakłócania klucza kryptograficznego. Kibicujemy, gdy hakerzy omijają zablokowane programy ładujące, i jest to ten sam rodzaj exploita. Kiedy coś zablokujesz, inni znajdą sposób, jeśli spróbują wystarczająco mocno. A kiedy Twoja platforma jest najpopularniejsza na świecie, ludzie bardzo się starają.

Więc ktoś może pobrać aplikację systemową z telefonu. Po prostu wyciągnij go. Korzystając z tego exploita, mogą go edytować, aby robić nieprzyjemne rzeczy - nadać mu nowy numer wersji i spakować go z powrotem, zachowując ten sam, prawidłowy klucz do podpisywania. Następnie możesz potencjalnie zainstalować tę aplikację bezpośrednio nad istniejącą kopią, a teraz masz aplikację zaprojektowaną do robienia złych rzeczy i ma ona pełny dostęp do całego systemu. Przez cały czas aplikacja będzie wyglądać i zachowywać się normalnie - nigdy nie dowiesz się, że dzieje się coś podejrzanego.

Yikes.

Co się z tym dzieje?

Ludzie z Bluebox powiedzieli o tym wszystkim Open Handset Alliance w lutym. Google i producenci OEM są odpowiedzialni za łatanie rzeczy, aby temu zapobiec. Samsung zrobił swoją część z Galaxy S4, ale każdy inny telefon, który sprzedają, jest wrażliwy. HTC i One nie wykonały cięcia, więc wszystkie telefony HTC są podatne na ataki. W rzeczywistości każdy telefon poza wersją Samsung Touchwiz Galaxy S4 jest wrażliwy.

Google nie zaktualizował jeszcze Androida, aby naprawić ten problem. Wyobrażam sobie, że ciężko nad tym pracują - zobacz problemy, w których Chainfire przeszedł przez rootowanie Androida 4.3. Ale Google nie siedział bezczynnie i też go ignorował. Sklep Google Play został „załatany”, aby nie można było wgrywać żadnych zmodyfikowanych aplikacji na serwery Google. Oznacza to, że każda aplikacja pobierana z Google Play jest czysta - przynajmniej w przypadku tego konkretnego exploita. Ale miejsca takie jak Amazon, Slide Me i oczywiście wszystkie te złamane fora APK są szeroko otwarte i każda aplikacja może mieć w sobie złe JuJu.

Więc to naprawdę wielka sprawa?

Tak, to wielka sprawa. A jednocześnie nie, tak naprawdę nie jest.

Google załatwi sposób, w jaki Android aktualizuje aplikacje lub sposób ich podpisywania. W tej grze w kotka i myszkę jest to normalne zjawisko. Google wydaje oprogramowanie, hakerzy (zarówno dobry, jak i zły) próbują go wykorzystać, a kiedy to robią, Google zmienia kod. Tak działa oprogramowanie i tego rodzaju rzeczy należy się spodziewać, gdy masz wystarczająco dużo inteligentnych ludzi próbujących się włamać.

Z drugiej strony telefon, który masz teraz, może nigdy nie zobaczyć aktualizacji, aby to naprawić. Do diabła, Samsung potrzebował prawie roku, aby załatać przeglądarkę przed exploitem, który może usunąć wszystkie dane użytkownika tylko na niektórych telefonach. Jeśli masz telefon, który ma zostać zaktualizowany do Androida 4.3, prawdopodobnie zostanie załatany. Jeśli nie, nikt nie zgadnie. To źle - bardzo źle. Nie próbuję przeklinać ludzi, którzy produkują nasze telefony, ale prawda jest prawdą.

Co mogę zrobić?

• Nie pobieraj żadnych aplikacji poza Google Play.
• Nie pobieraj żadnych aplikacji poza Google Play.
• Nie pobieraj żadnych aplikacji poza Google Play.
• W rzeczywistości, jeśli chcesz, wyłącz uprawnienia Nieznane źródła. Zrobiłem. Wszystko inne naraża cię na niebezpieczeństwo. Niektóre aplikacje antywirusowe sprawdzą, czy masz włączone nieznane źródła, jeśli nie jesteś pewien. Wejdź na fora i dowiedz się, który z nich jest najlepszy, jeśli potrzebujesz.
• Wyraź swoje niezadowolenie z powodu braku niezbędnych aktualizacji zabezpieczeń telefonu. Zwłaszcza jeśli nadal korzystasz z tego dwuletniego (lub trzyletniego - witaj Kanada!) Kontraktu.
• Zrootuj swój telefon i zainstaluj ROM, który ma jakąś poprawkę - popularne będą prawdopodobnie wkrótce.

Więc nie panikuj. Ale bądź proaktywny i kieruj się zdrowym rozsądkiem. Teraz jest naprawdę dobry moment, aby przestać instalować crackowane aplikacje, ponieważ osoby robiące cracking to te same osoby, które mogłyby wprowadzić zły kod do aplikacji. Jeśli otrzymasz powiadomienia o aktualizacji z miejsca innego niż Google Play, powiedz o tym komuś. Powiedz nam, jeśli potrzebujesz. Dowiedz się, którzy ludzie próbują przekazać te exploity, i daj im dużą dawkę publicznego zawstydzenia i ujawnienia. Karaluchy nienawidzą światła.

To minie, jak zawsze robią to straszenia bezpieczeństwa, ale wkroczy kolejny, by wypełnić swoje buty. Taka jest natura bestii. Bądźcie bezpieczni.