Logo androidermagazine.com
Logo androidermagazine.com
» Nachrichten
Nachrichten

Machen Sie einen Sinn aus der neuesten "Hauptschlüssel" -Sicherheitsangst von Android

Machen Sie einen Sinn aus der neuesten "Hauptschlüssel" -Sicherheitsangst von Android

Inhaltsverzeichnis:

Anonim

Kein Dreh, kein Blödsinn, nur klares, einfaches Gerede darüber, was diesmal los ist

Zu diesem Exploit, den das Bluebox-Sicherheitsteam entdeckt hat, wird einiges geredet. Das Erste, was Sie wissen müssen, ist, dass Sie wahrscheinlich betroffen sind. Es ist ein Exploit, der auf jedem Gerät funktioniert, das seit Android 1.6 nicht mehr gepatcht wurde. Wenn Sie Ihr Telefon gerootet und als ROM gespeichert haben, können Sie all dies ignorieren. Nichts davon ist für Sie von Belang, da es bei Root- und benutzerdefinierten ROMs ganz andere Sicherheitsbedenken gibt, über die Sie sich Sorgen machen müssen.

Wenn Sie in Ihren Einstellungen das Kontrollkästchen "Unbekannte Quellen" nicht aktiviert haben, bedeutet dies alles nichts für Sie. Machen Sie weiter und fühlen Sie sich frei, ein bisschen selbstgefällig und selbstgerecht zu sein - Sie haben es sich verdient, wenn Sie die ganze Zeit kein Seitenladen haben, für den Fall, dass so etwas passieren könnte. Wenn Sie nicht wissen, was dies bedeutet, fragen Sie jemanden.

Lesen Sie für den Rest von uns nach der Pause.

Mehr: IDG News Service.

Was ist es?

Alle Apps auf Ihrem Android werden mit einem kryptografischen Schlüssel signiert. Wenn diese App aktualisiert werden soll, muss die neue Version dieselbe digitale Signatur aufweisen wie die alte, sonst wird sie nicht überschrieben. Sie können es also nicht aktualisieren. Es gibt keine Ausnahmen, und Entwickler, die ihren Signaturschlüssel verlieren, müssen eine brandneue App erstellen, die wir erneut herunterladen müssen. Das heißt ab Null. Alle neuen Downloads, alle neuen Testberichte und Bewertungen. Es ist keine Kleinigkeit.

Die System-Apps - die von HTC, Samsung oder Google auf Ihrem Telefon installiert wurden - verfügen ebenfalls über einen Schlüssel. Diese Apps haben häufig vollständigen Administratorzugriff auf alles auf Ihrem Telefon, da es sich um vertrauenswürdige Apps des Herstellers handelt. Aber sie sind immer noch nur Apps.

Folgen Sie mir immer noch?

Worüber wir gerade sprechen, worüber Bluebox spricht, ist eine Methode, um eine Android-App aufzureißen und den Code zu ändern, ohne den kryptografischen Schlüssel zu stören. Wir jubeln, wenn Hacker an gesperrten Bootloadern vorbeikommen, und dies ist die gleiche Art von Exploit. Wenn Sie etwas sperren, werden andere einen Weg finden, wenn sie sich genug anstrengen. Und wenn Ihre Plattform die beliebteste auf dem Planeten ist, geben sich die Leute große Mühe.

So kann jemand eine Systemanwendung von einem Telefon nehmen. Ziehen Sie es einfach heraus. Mit diesem Exploit können sie es bearbeiten, um böse Dinge zu tun - geben Sie ihm eine neue Versionsnummer und packen Sie es wieder zusammen, während Sie den gleichen, gültigen Signaturschlüssel behalten. Sie können diese App dann möglicherweise direkt über Ihrer vorhandenen Kopie installieren. Sie verfügen nun über eine App, die für schlechte Dinge entwickelt wurde, und sie hat vollständigen Zugriff auf Ihr gesamtes System. Die App sieht die ganze Zeit über normal aus und verhält sich normal - Sie werden nie erfahren, dass etwas faul ist.

Huch.

Was wird dagegen unternommen?

Die Leute von Bluebox erzählten der gesamten Open Handset Alliance im Februar davon. Google und OEMs sind dafür verantwortlich, Patches zu erstellen, um dies zu verhindern. Samsung hat seinen Teil mit dem Galaxy S4 geleistet, aber jedes andere Handy, das sie verkaufen, ist anfällig. HTC und das One haben den Schnitt nicht geschafft, daher sind alle Handys von HTC anfällig. In der Tat ist jedes Handy mit Ausnahme der Samsung Touchwiz-Version Galaxy S4 anfällig.

Google hat Android noch nicht aktualisiert, um dieses Problem zu beheben. Ich stelle mir vor, sie arbeiten hart daran - siehe die Probleme, die Chainfire durch das Rooten von Android 4.3 verursacht hat. Aber Google hat nicht untätig daneben gesessen und es auch nicht ignoriert. Der Google Play Store wurde „gepatcht“, sodass keine manipulierten Apps auf die Server von Google hochgeladen werden können. Das bedeutet, dass jede App, die Sie von Google Play herunterladen, sauber ist - zumindest in Bezug auf diesen bestimmten Exploit. Aber Orte wie Amazon, Slide Me und natürlich all diese gecrackten APK-Foren sind weit offen und jede Anwendung könnte schlechtes JuJu enthalten.

Das ist also eine wirklich große Sache?

Ja, es ist eine große Sache. Und zur gleichen Zeit, nein, es ist wirklich nicht.

Google ändert die Art und Weise, wie Android Apps aktualisiert oder signiert. In diesem Katz-und-Maus-Spiel ist dies ein normaler Vorgang. Google veröffentlicht Software, Hacker (sowohl die guten als auch die schlechten) versuchen, sie auszunutzen, und wenn sie das tun, ändert Google den Code. So funktioniert Software, und so etwas sollte man erwarten, wenn man genug kluge Leute hat, die versuchen, sich einzumischen.

Auf dem Telefon, das Sie jetzt haben, wird möglicherweise nie ein Update angezeigt, um dieses Problem zu beheben. Verdammt, Samsung brauchte fast ein Jahr, um den Browser gegen einen Exploit zu patchen, bei dem alle Benutzerdaten auf einigen seiner Telefone gelöscht werden könnten. Wenn Sie ein Telefon haben, von dem Sie erwarten, dass es auf Android 4.3 aktualisiert wird, werden Sie wahrscheinlich gepatcht. Wenn nicht, ist es jedermanns Vermutung. Das ist schlimm - sehr schlimm. Ich versuche nicht, die Leute zu beschimpfen, die unsere Telefone herstellen, aber Wahrheit ist Wahrheit.

Was kann ich machen?

  • Laden Sie keine Apps außerhalb von Google Play herunter.
  • Laden Sie keine Apps außerhalb von Google Play herunter.
  • Laden Sie keine Apps außerhalb von Google Play herunter.
  • Deaktivieren Sie die Berechtigung "Unbekannte Quellen", wenn Sie möchten. Ich tat. Alles andere macht dich angreifbar. Einige „Anti-Virus“ -Apps prüfen, ob unbekannte Quellen aktiviert sind, wenn Sie sich nicht sicher sind. Gehen Sie in die Foren und finden Sie heraus, von welchem ​​Sie sagen, dass es das Beste ist, wenn Sie es brauchen.
  • Drücken Sie Ihr Missfallen darüber aus, dass Sie keine wichtigen Sicherheitsupdates für Ihr Telefon erhalten. Vor allem, wenn Sie noch einen Zweijahresvertrag (oder einen Dreijahresvertrag - Hallo Kanada!) Haben.
  • Rooten Sie Ihr Telefon und installieren Sie ein ROM, das eine Art Fix enthält - die populären werden wahrscheinlich sehr bald einsatzbereit sein.

Also keine Panik. Aber sei proaktiv und benutze einen gesunden Menschenverstand. Jetzt ist ein guter Zeitpunkt, um die Installation geknackter Apps zu beenden, da es sich bei den Leuten, die das Knacken ausführen, um die gleichen Leute handelt, die bösen Code in die App einfügen könnten. Wenn Sie Aktualisierungsbenachrichtigungen erhalten, die nicht von Google Play stammen, informieren Sie jemanden. Sagen Sie uns, wenn Sie brauchen. Finden Sie die Leute heraus, die versuchen, diese Heldentaten weiterzugeben, und geben Sie ihnen eine starke Portion öffentlicher Beschämung und Belichtung. Kakerlaken hassen das Licht.

Dies wird passieren, wie es Sicherheitsängste immer tun, aber ein anderer wird eintreten, um seine Schuhe zu füllen. Das ist die Natur des Tieres. Bleib in Sicherheit, Jungs.

Nachrichten

Die Wahl des Herausgebers