Video: Everything you think you know about addiction is wrong | Johann Hari (Oktober 2024)
En sårbarhed i Android-operativsystemet giver angribere mulighed for at tage en eksisterende app, injicere ondsindet kode og pakke den igen på en sådan måde, at den kan foregive at være den originale app. Bør du være bekymret?
Forskere ved Bluebox Security fandt fejlen i, hvordan kryptografiske underskrifter til apps verificeres, skrev Jeff Forristal, CTO for Bluebox, på firmabloggen 3. juli. Det betyder, at angribere kunne ændre appen uden at ændre dens kryptografiske signatur, sagde Forristal.
Fejlen har eksisteret siden Android 1.6 ("Donut") og gjort "99 procent" af enheder, eller "enhver Android-telefon, der er frigivet i de sidste fire år" sårbar over for angreb, hævdede Forristal.
Det skræmmende scenarie går sådan: en legitim app (for eksempel en Google-app) ændres for at stjæle adgangskoder eller forbinde enheden til et botnet og frigives for brugere at downloade. Da begge apps har den samme digitale signatur, vil det være vanskeligt for brugerne at vide, hvilken der er ægte og hvilken som er falsk.
Ikke rigtig.
Er jeg i fare?
Google opdaterede Google Play, så der er kontrol på plads for at blokere for ondsindede apps, der bruger denne udnyttelse til at maskereres som en anden app.
Hvis du installerer apps og opdateringer fra Google Play, er du ikke i fare for denne udnyttelse, da Google har taget skridt til at sikre app-markedspladsen. Hvis du downloader apps fra tredjepartsmarkeder, endda semi-officielle dem som Samsung og Amazon app-butikker, er du i fare. For tiden kan det være værd at holde op med at bruge disse markedspladser.
Google anbefaler, at brugere holder sig væk fra tredjepartsmarkederne for Android-apper.
Hvad andet kan jeg gøre?
Det er også vigtigt at huske, at du altid skal se på, hvem udvikleren er. Selv hvis en trojaniseret app klarer det gennem Google Play, eller hvis du er i en anden app-butik, vises appen ikke under den oprindelige udvikler. For eksempel, hvis angribere pakker om Angry Birds ved hjælp af denne sårbarhed, vil den nye version ikke blive vist på Rovios konto.
Hvis du vil sikre dig, at du ikke kan installere apps fra tredjepartskilder, skal du gå til Indstillinger> Sikkerhed og sørge for, at afkrydsningsfeltet til installation af apps fra "ukendte kilder" ikke er markeret.
Hvis du har den nyeste version af Android, er du også beskyttet af det indbyggede app-scanningssystem, da det scanner apps, der kommer fra andre kilder end Google Play. Det betyder, at selv hvis du fejlagtigt installerer en dårlig app, kan din telefon stadig blokere den ondsindede kode.
Der er også sikkerhedsapps til Android, der kan registrere ondsindet adfærd og advare dig om den krænkende app. PCMag anbefaler vores Editors 'Choice Bitdefender Mobile Security.
Er et angreb sandsynligt?
"Bare fordi 'hovednøglen' endnu ikke er blevet udnyttet, betyder det ikke, at vi kan hvile på vores laurbær, " sagde Grayson Milbourne, direktør for sikkerhedsintelligens hos Webroot, til SecurityWatch . Mobilsikkerhed skal handle om at beskytte enheden fra alle sider - identitetsbeskyttelse til at beskytte adgangskoder og andre personlige oplysninger, blokere malware og ondsindede apps og være i stand til at finde enheden, hvis den går tabt eller stjålet, sagde Milbourne.
Bluebox rapporterede fejlen til Google tilbage i februar, og Google har allerede skubbet en patch til sine hardwarepartnere i Open Handset Alliance. Flere håndsætproducenter har allerede frigivet patches for at løse problemet. Luftfartsselskaberne skal nu skubbe fixet ned til deres slutbrugere.
"Det er op til enhedsproducenter at producere og frigive firmwareopdateringer til mobile enheder (og desuden for brugerne at installere disse opdateringer), " sagde Forristal. Bluebox planlægger at afsløre flere detaljer under Black Hat-konferencen i Las Vegas i slutningen af denne måned.
Pau Oliva Fora, en ingeniør hos mobilsikkerhedsfirma viaForensics, lagde et bevis for koncept, der udnyttede sårbarheden på github 8. juli. Fora oprettede shell-scriptet efter at have læst detaljer om bug, der blev sendt af Cyanogenmod-teamet. Cyanogenmod er en populær version af Android, som brugerne kan installere på deres enheder. Holdet har allerede lappet fejlen.
Hvis du er blandt de heldige få brugere, der modtager en Android-opdatering fra din udbyder, skal du sørge for at downloade og installere den med det samme. Selv hvis risiciene er lave, er opdatering af operativsystemet simpelthen god sikkerhedssans.
