תוכן עניינים:
- בלי סיבוב, בלי שטויות, פשוט דיבור פשוט ברור על מה שקורה הפעם
- מה זה?
- מה עושים בקשר לזה?
- אז זהו עניין גדול באמת?
- מה אני יכול לעשות?
בלי סיבוב, בלי שטויות, פשוט דיבור פשוט ברור על מה שקורה הפעם
יש דיבורים אמיתיים על ניצול זה שצוות האבטחה של Bluebox גילה שיש צורך. הדבר הראשון שצריך לדעת הוא שאתה כנראה מושפע. זה ניצול שעובד בכל מכשיר שלא טופח מאז אנדרואיד 1.6. אם השתרשתם וטכנתם את הטלפון שלכם, תוכלו להתעלם בחופשיות מכל זה. שום דבר מכל זה לא נחשב עבורך, מכיוון שיש קבוצה שונה לחלוטין של דאגות אבטחה שמגיעות עם ROM ושורשי ROM המותאמים אישית עבורך לדאוג.
אם אין לך את תיבת ההרשאה הידועה לשמצה "מקורות לא ידועים" בהגדרות שלך, כל זה אומר לך כלום. המשיכו, ותרגישו חופשיים להיות קצת זחוחים וצדיקים - מגיע לכם שזה תמנעו מההצלה לאורך כל הזמן הזה למקרה שמשהו כזה יכול לקרות. אם אינך יודע מה המשמעות של זה, שאל מישהו.
לשארנו קרא לפני ההפסקה.
עוד: שירות החדשות IDG.
מה זה?
כל היישומים באנדרואיד שלך חתומים עם מפתח קריפטוגרפי. כאשר הגיע הזמן לעדכן את האפליקציה, על הגירסה החדשה להיות בעלת אותה חתימה דיגיטלית כמו זו הישנה, אחרת היא לא תחליף. במילים אחרות אינך יכול לעדכן אותו. אין חריגים, ומפתחים שמאבדים את מפתח החתימה שלהם צריכים ליצור אפליקציה חדשה לגמרי שעלינו להוריד אותה שוב. זה אומר להתחיל מאפס. כל ההורדות החדשות, כל הסקירות והדירוגים החדשים. זה לא עניין של מה בכך.
לאפליקציות המערכת - אלה שהגיעו להתקין בטלפון שלך מ- HTC או סמסונג או מגוגל - יש מפתח. לאפליקציות אלה לרוב יש גישה מלאה למנהל מערכת לכל מה שבטלפון שלך, מכיוון שהן אפליקציות מהימנות של היצרן. אבל הם עדיין רק אפליקציות.
עדיין עוקב אחריי?
מה שאנחנו מדברים עליו עכשיו, על מה ש- Bluebox מדבר עליו, הוא שיטה לקרוע אפליקציית אנדרואיד ולשנות את הקוד מבלי להפריע למפתח הקריפטוגרפי. אנו מריעים כאשר האקרים מסתובבים עם ממסני מגפיים נעולים, וזהו אותו סוג של ניצול. כשאתה נועל משהו, אחרים ימצאו דרך אם ינסו מספיק קשה. וכאשר הפלטפורמה שלך היא הפופולרית ביותר על פני כדור הארץ, אנשים מתאמצים מאוד.
אז מישהו יכול לקחת יישום מערכת מטלפון. פשוט משוך אותו ישר. בעזרת ניצול זה הם יכולים לערוך אותו כדי לעשות דברים מגעילים - לתת לו מספר גרסה חדש, ולארוז אותו יחד תוך שמירה על אותו מפתח חתימה תקף. לאחר מכן תוכל להתקין אפליקציה זו באופן ימין מעל העותק הקיים שלך, וכעת יש לך אפליקציה המיועדת לעשות דברים רעים ויש לה גישה מלאה לכל המערכת שלך. כל הזמן, האפליקציה תיראה ותתנהג כרגיל - לעולם לא תדעו שמשהו דגי קורה.
ייקס.
מה עושים בקשר לזה?
האנשים ב- Bluebox סיפרו לברית המכשירים הפתוחים על כל הדברים האלה בפברואר. יצרני גוגל ויצרני ציוד מקורי אחראים לתיקון דברים כדי למנוע זאת. סמסונג עשתה את שלה עם ה- Galaxy S4, אך כל טלפון אחר שהם מוכרים פגיע. HTC וה- One לא ביצעו את החיתוך, כך שכל הטלפונים של HTC פגיעים. למעשה, כל טלפון פרט לגרסת ה- Galaxy S4 של סמסונג Touchwiz פגיע.
גוגל טרם עדכנה את אנדרואיד כדי לתקן את הבעיה. אני מתאר לעצמי שהם עובדים קשה על זה - ראו את הבעיות Chainfire עברה על השתרשות אנדרואיד 4.3. אבל גם גוגל לא ישבה בחיבוק ידיים והתעלמה מכך. חנות גוגל פליי "טופלה" כך שלא ניתן להעלות אפליקציות מפונקות לשרתי גוגל. פירוש הדבר שכל אפליקציה שתוריד מ- Google Play היא נקייה - לפחות בכל הנוגע לניצול הספציפי הזה. אבל מקומות כמו אמזון, Slide Me, וכמובן שכל אותם פורומי APK מפוצצים שם פתוחים לרווחה ובכל יישום יכול להיות ג'וג'ו רע בתוכו.
אז זהו עניין גדול באמת?
כן, מדובר בעסקת ענק. ובאותו הזמן, לא, זה ממש לא.
גוגל תתקן את האופן בו אנדרואיד מעדכן אפליקציות או את אופן החתימה שלהן. במשחק חתול ועכבר זה זהו התרחשות רגילה. גוגל משחררת תוכנה, האקרים (גם מהסוג הטוב וגם מהסוג הרע) מנסים לנצל אותה, וכשהם עושים גוגל משנה את הקוד. ככה עובדת תוכנה, וצריך לצפות בסוג כזה כשיש לכם מספיק אנשים חכמים שמנסים לפרוץ.
מצד שני, ייתכן שהטלפון שיש לך עכשיו לעולם לא יראה עדכון לתיקון זה. לעזאזל, לקח לסמסונג כמעט שנה לתקן את הדפדפן כנגד ניצול שעלול למחוק את כל נתוני המשתמש שלך רק בחלק מהטלפונים שלה. אם יש לך טלפון שאתה מצפה שיעודכן ל- Android 4.3, סביר להניח שתתקן. אם לא, זה הניחוש של מישהו. זה רע - רע מאוד. אני לא מנסה להכות על האנשים שמייצרים טלפונים שלנו, אבל האמת היא אמת.
מה אני יכול לעשות?
- אל תוריד אף אפליקציה מחוץ ל- Google Play.
- אל תוריד אף אפליקציה מחוץ ל- Google Play.
- אל תוריד אף אפליקציה מחוץ ל- Google Play.
- למעשה, קדימה לכבות את ההרשאה למקורות לא ידועים אם תרצה. אני עשיתי. כל דבר אחר משאיר אותך פגיע. כמה יישומי "אנטי-ווירוס" יבדקו אם הפעלת מקורות לא ידועים אם אינכם בטוחים. היכנס לפורומים וגלה איזה מהם כולם אומרים שהוא הטוב ביותר אם אתה צריך.
- הביע את מורת רוחך מכך שלא קיבלת עדכוני אבטחה חיוניים לטלפון שלך. במיוחד אם אתה עדיין על חוזה לשנתיים (או שלוש - שלום קנדה!).
- השתרש את הטלפון שלך והתקין ROM שיש בו איזשהו תיקון - כנראה שהפופולריים ייפתחו בקרוב מאוד.
אז אל תיבהל. אבל היו פרואקטיביים והשתמשו בשכל ישר. עכשיו זה זמן ממש טוב להפסיק להתקין אפליקציות סדוקות, מכיוון שהאנשים שעושים את הפיצוח הם אותו סוג של אנשים שיכולים להכניס קוד רשע לאפליקציה. אם אתה מקבל הודעות עדכון שמגיעות ממקום שאינו Google Play, ספר למישהו. ספר לנו אם אתה צריך. גלה את האנשים שמנסים להעביר את העלילות הללו ולתת להם מנה כבדה של בושה וחשיפה ציבורית. תיקנים שונאים את האור.
זה יעבור כמו שמפחידים תמיד לעשות, אבל אחר ייכנס למילוי נעליו. זה טבעה של החיה. הישארו בטוחים חבר'ה.
![התקפת דיוג חיונית הייתה פשוט תרגול אימייל מרושל [אנדי רובין מגיב]](https://img.androidermagazine.com/img/smartphones/881/essentialphishing-attackwas-just-sloppy-email-practice.jpg "התקפת דיוג חיונית הייתה פשוט תרגול אימייל מרושל [אנדי רובין מגיב]")
