Szkodliwe pliki po raz kolejny znalazły się w Android Market, a zestaw aplikacji został przechwycony, poddany inżynierii wstecznej z wstrzykniętym złośliwym kodem i opublikowany wraz z legalnymi aplikacjami.
Dwie rzeczy wymagają wzmianki z góry - Google już usunęło aplikacje z usługi Market i tym razem dotyczyło to tylko użytkowników w Chinach, z których również pochodzą. Jeśli czytasz tę historię, prawdopodobnie jesteś bezpieczny i nigdy nie byłeś zagrożony. Ale wciąż jest to duży problem. Zestaw złoczyńców (to moja bezpieczna wersja) mógł zdekompilować aplikacje od legalnego programisty, wprowadzić kod wysyłający wiadomości SMS do chińskiej usługi subskrypcyjnej, a następnie podjął naprawdę genialne kroki, aby zachować wszystko ukryte przed użytkownikiem. Tak się stanie, ponieważ wszystko, co jest wystarczająco popularne i elektroniczne, jest celem. Niepokojące jest to, że trafiają one do Android Market.
Pozwólcie, że po przerwie będę miał z tobą kilkaset słów.
Źródło: AegisLabs via Sophos; Dzięki, Tony Bag o Donuts!
Jestem rozdarty. Jako użytkownik i na poziomie osobistym mówię, aby pozostawić wszystko otwarte i zmusić użytkowników do staranności i instalowania tylko aplikacji, którym ufają, bez względu na to, skąd pochodzą. Dowiedz się, jakie są uprawnienia i dlaczego aplikacja może ich nie potrzebować (np. Adobe Reader). Ale jako bloger i (mam nadzieję) szanowany autorytet Androida, mam obowiązek wobec naszych czytelników, aby chcieli dla nich jak najlepiej. To wy chłopaki. Wielu z was jest szanowanymi autorytetami Androida i nie ma problemu z rozpoznaniem, co jest bezpieczne, a co nie. Wiele innych nie jest i zależy od Android Central i innych zasobów internetowych, aby zaoferować dobre porady, jak zachować bezpieczeństwo. To sprawia, że jestem trochę zalany.
Czytając różne publikacje dotyczące bezpieczeństwa na ten temat, natknąłem się na bardzo interesujący pomysł Vanji Svajcer w Sophos. Jego pomysł jest prosty i łatwy do wdrożenia - potrzebujemy dwóch zestawów kluczy do podpisywania. Aplikacje, które chcą lub muszą wykonywać takie czynności, jak wysyłanie wiadomości SMS lub zabawy z listą kontaktów, powinny korzystać z zestawu zweryfikowanych kluczy powiązanych z legalnym kontem programisty zatwierdzonym przez Google. Pozwól, aby aplikacje i motywy pierdnięcia nadal korzystały z kluczy generowanych przez użytkowników - nie zmuszaj programistów hobbystów do przeskakiwania przez obręcze dla ludzi w Mountain View, jeśli nie będą robić niczego, co mogłoby stworzyć potencjalny problem z bezpieczeństwem. Ale w momencie, gdy aplikacja chce uzyskać dostęp do książki telefonicznej lub użyć Twojego authToken GMail, sprawdź klucz podpisu i zweryfikuj go. Dbaj o bezpieczeństwo użytkowników, a oni pozostaną zadowoleni. Zadowoleni użytkownicy kupują więcej aplikacji i więcej produktów na Androida. Nauka o rakietach tak nie jest. Vanja uderzyła prosto w głowę tym - co powiesz, Google?
Cóż, to już koniec. Jeśli jesteś ciekawy, oto lista aplikacji, których dotyczy problem. Pamiętaj, że wszystkie zostały natychmiast usunięte z usługi Market i dotyczyły tylko użytkowników z chińskimi ustawieniami regionalnymi i numerem telefonu.
- rezerwuję
- iCartoon
- LoveBaby
- 3D Cube horror okropny
- Sea Ball
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- iMine
- iGuide
Będziemy mieć wszystko na oku i powiadomimy Cię, kiedy to nastąpi. I nadejdzie następny raz - kompromis za możliwość posiadania aplikacji typu kick-ass, takich jak Handcent, to aplikacje korzystające z tych samych funkcji i otwartości na rzeczy, których wolelibyśmy nie robić. W tym momencie będę musiał zasugerować dwie rzeczy:
- Użyj skanera „wirusowego”. Tak, wiem, że nie ma żadnych wirusów dla Androida, ale nazwy jakby utknęły. Wszystkie dotychczasowe problemy z bezpieczeństwem wymagały od użytkownika końcowego ich zainstalowania. Za pomocą telefonu nie zarażasz się niczym. Na Rynku jest kilka do wyboru. Wszystkie działają, więc sprawdź ich funkcje i dokonaj wyboru. Ciesz się więc, że mamy dla nich brudną robotę.
- Nie instaluj żadnych aplikacji, którymi nie powinieneś być. Tak, to kuszące i dzięki Sideload Wonder Machine dość łatwo to zrobiliśmy (ale to nie było moim zamiarem!). Blogerzy bezpieczeństwa nie tylko dmuchają dymem, gdy ostrzegają o tym. Jeśli jesteś w stanie, wejdź na jedno z pirackich forów aplikacji i pobierz garść, a następnie dokonaj inżynierii wstecznej i porównaj je z oficjalnymi wersjami. Jeśli nie jesteś w stanie, zaufaj nam. Około połowa z nich ma poważne różnice w kodzie. Trzymaj się aplikacji, którym ufasz. Lub trzymaj się Rynku - jeśli utkniesz z trojanem, Google cię naprawi. Programiści nie tylko zasługują na kilka dolców, których żądają za ciężką pracę, ale w końcu będziesz bezpieczniejszy.
