Будинки Securitywatch Помилка головного ключа Android не є ризиком, якщо ви будете дотримуватися Google Play

Помилка головного ключа Android не є ризиком, якщо ви будете дотримуватися Google Play

Відео: Настя и сборник весёлых историй (Листопад 2024)

Відео: Настя и сборник весёлых историй (Листопад 2024)
Anonim

Уразливість в операційній системі Android дозволяє зловмисникам приймати наявну програму, вводити шкідливий код і перепаковувати його таким чином, що він може видавати себе за оригінальний додаток. Ви повинні турбуватися?

Дослідники компанії Bluebox Security виявили недолік у тому, як перевіряються криптографічні підписи для додатків, написав на блозі компанії 3 липня Джефф Форрістал (CTO of Bluebox). Це означає, що зловмисники могли модифікувати додаток, не змінюючи його криптографічного підпису, сказав Forristal.

Проблема існує з моменту Android 1.6 ("Пончик") і зробила "99 відсотків" пристроїв або "будь-який Android-телефон, випущений за останні чотири роки", вразливим до атак, заявив Forristal.

Страшний сценарій виглядає приблизно так: законний додаток (наприклад, додаток Google) модифікується для крадіжки паролів або підключення пристрою до ботнету та відпускається користувачам для завантаження. Оскільки обидва додатки мають однаковий цифровий підпис, користувачам буде складно дізнатись, що є реальним, а яке - підробленим.

Ну не дуже.

Я в небезпеці?

Google оновив Google Play, щоб встановити чеки, щоб заблокувати будь-які шкідливі додатки, які використовують цей подвиг, щоб маскуватися під будь-який інший додаток.

Якщо ви встановлюєте додатки та оновлення з Google Play, ви не ризикуєте цим подвигом, оскільки Google вжила заходів для захисту ринку додатків. Якщо ви завантажуєте додатки з сторонніх, навіть напів офіційних, таких як магазини додатків Samsung та Amazon, тоді ви ризикуєте. Наразі, можливо, варто буде втриматися від використання цих ринків.

Google рекомендує користувачам триматися подалі від сторонніх ринків додатків Android.

Що ще я можу зробити?

Також важливо пам’ятати, що ви завжди повинні дивитись, хто такий розробник. Навіть якщо троянізований додаток робить це через Google Play, або якщо ви перебуваєте в іншому магазині додатків, додаток не буде вказано під початковим розробником. Наприклад, якщо зловмисники перепаковують Angry Birds, використовуючи цю вразливість, нова версія не буде вказана в обліковому записі Rovio.

Якщо ви хочете переконатися, що ви не можете встановити програми з сторонніх джерел, увійдіть у Налаштування> Безпека та переконайтесь, що прапорець для встановлення програм із "невідомих джерел" не встановлений.

Якщо у вас є остання версія Android, то ви також захищені вбудованою системою сканування додатків, оскільки вона сканує додатки, що надходять із інших джерел, ніж Google Play. Це означає, що навіть якщо ви помилково встановите поганий додаток, ваш телефон все ще може заблокувати шкідливий код.

Є також програми безпеки для Android, які можуть виявити шкідливу поведінку та попередити вас про додаток, який ображає вас. PCMag рекомендує вибір редактора Bitdefender Mobile Security.

Чи можлива атака?

"Тільки тому, що" головний ключ "ще не експлуатується, не означає, що ми можемо спочивати на своїх лаврах", сказав для SecurityWatch Грейсон Мільбурн, директор з питань безпеки в Webroot. Захист мобільних пристроїв повинен стосуватися захисту пристрою з усіх сторін - захисту ідентичності для захисту паролів та іншої особистої інформації, блокування шкідливих програм та зловмисних програм, а також можливості знайти пристрій у разі його втрати чи викрадення, сказав Мільбурн.

Про недолік Bluebox повідомив Google ще в лютому, і Google вже висунув патч своїм партнерам по апаратному забезпеченню в Open Handset Alliance. Кілька виробників телефонів вже випустили патчі, щоб вирішити проблему. Тепер оператори повинні виправити виправлення до кінцевих користувачів.

"Виробники пристроїв вирішують виробляти та випускати оновлення мікропрограмного забезпечення для мобільних пристроїв (і, крім того, для користувачів, які встановлюють ці оновлення)", - сказав Forristal. Bluebox планує розкрити більше деталей під час конференції Black Hat у Лас-Вегасі наприкінці цього місяця.

Пау Оліва Фора, інженер мобільної охоронної компанії viaForensics, опублікував доказ про концепцію використання вразливості на Github 8 липня. Фора створив скрипт оболонки, прочитавши подробиці про помилку, опубліковану командою Cyanogenmod. Cyanogenmod - популярна версія Android, яку користувачі можуть встановлювати на свої пристрої. Команда вже виправила недолік.

Якщо ви серед небагатьох щасливчиків, які отримують оновлення Android від вашого оператора, то завантажте та встановіть його відразу. Навіть якщо ризики низькі, оновлення ОС - це просто хороший сенс безпеки.

Помилка головного ключа Android не є ризиком, якщо ви будете дотримуватися Google Play