באג המפתח הראשי של אנדרואיד אינו מהווה סיכון אם אתה מציית לגוגל פליי

פגיעות במערכת ההפעלה אנדרואיד מאפשרת לתוקפים לקחת אפליקציה קיימת, להזרים קוד זדוני ולארוז אותה מחדש כך שהיא יכולה להעמיד פנים שהיא האפליקציה המקורית. אתה צריך לדאוג?

חוקרים ב- Bluebox Security מצאו את הפגם בדרך המאמת חתימות קריפטוגרפיות עבור אפליקציות, כך כתב ג'ור פורריסט, סמנכ"ל הכספים של חברת Bluebox, בבלוג החברה. 3. פירוש הדבר כי התוקפים יכולים לשנות את האפליקציה מבלי לשנות את חתימתה הקריפטוגרפית, כך אמר פורסטאלי.

הפגם קיים מאז אנדרואיד 1.6 ("סופגנייה") והפך את "99 אחוז" המכשירים, או "כל טלפון אנדרואיד שיצא בארבע השנים האחרונות" לפגיע להתקפה, טען פורריסטל.

התרחיש המפחיד הולך כדבר הזה: אפליקציה לגיטימית (לדוגמה, אפליקציה של גוגל) משתנה לגניבת סיסמאות או לחיבור המכשיר לבוטנט ומשוחררת למשתמשים להורדה. מכיוון שלשתי האפליקציות יש אותה חתימה דיגיטלית, יהיה קשה למשתמשים לדעת איזו אמיתית ואיזה היא מזויפת.

ובכן לא באמת.

האם אני בסכנה?

גוגל עדכנה את Google Play כך שקיימות בדיקות לחסימת אפליקציות זדוניות שמשתמשות בניצול זה כדי להתחפש לאפליקציה אחרת.

אם אתה מתקין אפליקציות ועדכונים מ- Google Play, אתה לא נמצא בסיכון מניצול זה, מכיוון שגוגל נקטה צעדים לאבטחת שוק האפליקציות. אם אתה מוריד אפליקציות ממקומות שוק של צד שלישי, ואפילו כאלה רשמיים למחצה כמו חנויות אפליקציות של סמסונג ואמזון, אתה נמצא בסיכון. נכון לעכשיו, ייתכן שווה להמשיך ולהשתמש באותם מקומות שוק.

גוגל ממליצה למשתמשים להתרחק משווקי אפליקציות אנדרואיד של צד שלישי.

מה עוד אני יכול לעשות?

חשוב לזכור שתמיד צריך לבדוק מי היזם. גם אם אפליקציה טרויאניזציה מצליחה להגיע דרך Google Play, או אם אתה נמצא בחנות אפליקציות אחרת, האפליקציה לא תופיע ברשימה תחת המפתח המקורי. לדוגמה, אם התוקפים אורזים מחדש את Angry Birds המשתמשים בפגיעות זו, הגרסה החדשה לא תופיע בחשבון של Rovio.

אם אתה רוצה לוודא שאתה לא יכול להתקין אפליקציות ממקורות צד שלישי, עבור אל הגדרות> אבטחה וודא שתיבת הסימון להתקנת אפליקציות מ"מקורות לא ידועים "לא מסומנת.

אם ברשותך הגרסה האחרונה של אנדרואיד, אתה מוגן גם על ידי מערכת סריקת האפליקציות המובנית שכן היא סורקת אפליקציות שהגיעו ממקורות שאינם גוגל פליי. המשמעות היא שגם אם תתקין בטעות אפליקציה גרועה, הטלפון שלך עדיין יכול לחסום את הקוד הזדוני.

יש גם אפליקציות אבטחה לאנדרואיד שיכולות לאתר התנהגות זדונית ולהתריע בפניכם על האפליקציה הפוגעת. PCMag ממליץ על האבטחה הניידת Bitdefender Mobile של בחירת העורכים שלנו.

האם מתקפה היא סבירה?

גרייסון מילבורן, מנהל מודיעין האבטחה ב- Webroot, אמר ל- SecurityWatch: "רק בגלל ש'מפתח המאסטר 'טרם נוצל, זה לא אומר שאנחנו יכולים לנוח על זרי הדפנה. על אבטחה לנייד להתייחס להגנה על המכשיר מכל הצדדים - הגנת זהות להגנה על סיסמאות ומידע אישי אחר, חסימת תוכנות זדוניות ואפליקציות זדוניות, ויכולת למצוא את המכשיר אם הוא אבוד או נגנב, אמר מילבורן.

חברת Bluebox דיווחה על הפגם בפני גוגל בפברואר, וגוגל כבר דחפה תיקון לשותפי החומרה שלה בברית המכשירים הפתוחה. מספר יצרני מכשירי טלפון כבר פרסמו טלאים לתיקון הבעיה. על הספקים לדחוף את התיקון למשתמשי הקצה שלהם.

פורסטל אמר כי "על יצרני המכשירים לייצר ולשחרר עדכוני קושחה למכשירים ניידים (ויתרה מכך למשתמשים להתקין עדכונים אלה)". Bluebox מתכננת לחשוף פרטים נוספים במהלך ועידת הכובע השחור בלאס וגאס בסוף החודש.

פאו אוליבה פורה, מהנדסת בחברת אבטחה סלולרית באמצעות חברת פורנסיקס, פרסמה הוכחה למושג שמנצל את הפגיעות ב- github. 8 ביולי. פורמה יצרה את סקריפט הפגז לאחר שקראה את פרטי הבאג שפרסם צוות Cyanogenmod. Cyanogenmod היא גרסה פופולארית של אנדרואיד שמשתמשים יכולים להתקין על המכשירים שלהם. הצוות כבר תיקן את הפגם.

אם אתה בין המשתמשים המעטים המזל שמקבלים עדכון אנדרואיד מהספק שלך, וודא שאתה מוריד ומתקין אותו מייד. גם אם הסיכונים נמוכים, עדכון מערכת ההפעלה הוא פשוט תחושת ביטחון טובה.