קבצים זדוניים שוב מצאו את דרכם לשוק אנדרואיד, כאשר מערכת יישומים שנחטפה, הונדסה לאחור עם קוד זדוני שהוחדר, ומתפרסמת לצד היישומים הלגיטימיים.
שני דברים צריכים להזכיר מלפנים - גוגל כבר הסירה את האפליקציות מהשוק, והפעם הם השפיעו רק על משתמשים בסין, שם הם גם מקורם. אם אתם קוראים את הסיפור הזה, אתם בטח בטוחים ומעולם לא היו בסיכון. אבל זה עדיין דאגה גדולה. קבוצה של בחורים רעים (זו הגרסה הבטוחה לעבודה שלי) הצליחו לחבר אפליקציות ממפתח חוקי, להכניס קוד כלשהו ששולח הודעות SMS לשירות מנויים סיני ואז נקטו כמה צעדים גאוניים באמת כדי לשמור כל מה שמוסתר מהמשתמש. זה הולך לקרות, מכיוון שכל מה שהוא אלקטרוני ופופולרי מספיק הוא יעד. החלק הקשור לכך הוא שאלו עושים את דרכם לשוק אנדרואיד.
הרשה לי לנהל איתך כמה מאות מילים על זה, אחרי ההפסקה.
מקור: AegisLabs דרך Sophos; תודה, טוני תיק או סופגניות!
אני קרוע. כמשתמש וברמה האישית אני אומר להשאיר הכל פתוח, ולאלץ משתמשים להיות חרוצים ולהתקין רק אפליקציות שהם סומכים עליהם, ללא קשר למקום שממנו הם מגיעים. למד מהן ההרשאות ומדוע אפליקציה עשויה או לא צריכה להידרש להן (כלומר Adobe Reader). אבל כבלוגר ו (בתקווה) מכובד סמכות אנדרואיד, יש לי אחריות כלפי הקוראים שלנו לרצות מה הכי טוב עבורם. זה אתם. רבים מכם מכובדים על ידי רשויות אנדרואיד בפני עצמכם, ואין להם בעיה להבחין מה בטוח ומה לא. רבים אחרים אינם, ותלויים במשאבי Android Central ומשאבי אינטרנט אחרים כדי להציע עצות טובות כיצד להישאר בטוחים. זה משאיר אותי במעט חמוצים.
בזמן שקראתי את פרסומי האבטחה השונים בנושא זה, נתקלתי ברעיון ממש מעניין של וונג'ה סבייצר בסופוס. הרעיון שלו פשוט וקל ליישום - מה שאנחנו צריכים זה שתי קבוצות של מפתחות חתימה. יישומים שרוצים או צריכים לעשות דברים כמו לשלוח הודעות SMS, או להשתעשע עם רשימת אנשי הקשר שלך צריכים להיעזר בקבוצה של מפתחות מאומתים הקשורים לחשבון מפתח לגיטימי שאושר על ידי Google. תן לאפליקציות והנושאים של הפליץ להמשיך להשתמש במפתחות שנוצרו על ידי משתמשים - אל תאלץ מפתחי תחביבים לקפוץ דרך חישוקים כלשהם עבור האנשים ב- Mountain View אם הם לא מתכוונים לעשות משהו שיכול ליצור בעיה אבטחתית. אך ברגע שאפליקציה רוצה לגשת לספר הטלפונים שלך או להשתמש ב- GMail AuthorToken שלך, בדוק את מפתח החתימה ואמת אותו. שמור על בטיחות המשתמשים, והם ישארו מאושרים. משתמשים מאושרים קונים יותר אפליקציות, ומוצרי אנדרואיד נוספים. מדע טילים זה לא. וונג'ה הכה את הציפורן בריבוע על הראש עם זה - מה אומרים אתם, גוגל?
אוויו, זה נגמר. אם אתה סקרן, להלן רשימת היישומים המושפעים. שימו לב שכולם הוסרו מייד מהשוק והושפעו רק ממשתמשים עם אזור ומספר טלפון סיני.
- iBook
- iCartoon
- אהבה מותק
- אימת קוביית 3D איומה
- כדור ים
- iCalendar
- iMatch
- שייק ברייק
- ShakeBanger
- אני שלי
- iGuide
אנו עוקבים אחר הדברים ונודיע לך בפעם הבאה שזה יקרה. ויהיה בפעם הבאה - החלופה על היכולת להחזיק אפליקציות בעיטה בתחת כמו Handcent יש אפליקציות שמשתמשות באותן פונקציות ופתיחות לדברים שהיינו מעדיפים שהם לא היו. בשלב זה, אצטרך להציע שני דברים:
- השתמש בסורק "וירוס". כן, אני יודע שאין וירוסים ל- Android, אבל שמות נתקעים. כל בעיות האבטחה עד כה דרשו ממשתמש הקצה לרצות להתקין אותן. לא תידבק במשהו רק באמצעות הטלפון שלך. ישנם כמה בשוק לבחירה. כולן עובדות, לכן בדקו את התכונות של כל אחת מהן ותבחרו. ואז להיות שמחים שיש לנו את העבודה המלוכלכת בשבילנו.
- אל תתקין יישומים שלא היית אמור להיות. כן, זה מפתה והקלנו די עם מכונת הפלא של Sideload (אבל זו לא הייתה הכוונה שלי!). בלוגרי אבטחה לא סתם מפוצצים עשן כשהם מתריעים על כך. אם אתה מסוגל, היכה באחד מאותם פורומים של אפליקציות פיראטיות והורד קומץ, ואז הנדס אותם לאחור והשווה ביחס לגרסאות הרשמיות. אם אינך מסוגל, פשוט סמוך עלינו. כמחציתם יש כמה הבדלים רציניים בקוד. היצמד לאפליקציות שאתה סומך עליה. או לדבוק בשוק - אם אתה נתקע עם טרויאני גוגל תקנה לך. לא רק שהמפתחים ראויים לכמה דולרים שהם מבקשים בעבודתם הקשה, אתה תהיה בטוח יותר בסופו של דבר.
