וִידֵאוֹ: ª (נוֹבֶמבֶּר 2024)
דיווחים מוקדמים על באג ה- Android Master Key שהתגלה על ידי חוקרים ב- Bluebox טענו כי עד 99 אחוז מכל מכשירי האנדרואיד עלולים להיות פגיעים. דיווחים מאוחרים יותר נסעו באופן מהותי, וציין כי רק משתמשים אשר כיבו את התכונה המונעת התקנת אפליקציות ממקורות לא מהימנים עשויים להיפגע. אף אחד לא עושה את זה, נכון? במצגתו של הכובע השחור, ג'ף פורריסל של Bluebox הסביר שזה לא כל כך פשוט.
הדגש העיקרי במצגתו של פוריסטול כלל הסבר בפירוט רב של הפגיעות ב- Master Key. הוא גם דיווח על כמה באגים קשורים אחרים שיכולים לאפשר שינוי של אפליקציות מבלי להשפיע על תהליך האימות של אנדרואיד. מרבית הפערים היו מעורבים בין מודולי ניתוח קבצי ZIP שונים בתוך אנדרואיד.
חוכמה נפוצה?
בסוף המצגת פוריסטאל התייחס לטענה כי כמעט כל המשתמשים מוגנים על ידי ההגדרה האוסרת על התקנת אפליקציות ממקורות לא מהימנים. "כולם יודעים" שאף משתמש לא משנה את ההגדרה 'אפשר מקורות לא אמינים', "אמר פורסטול. "באמת? מאיפה הנתונים האלה?" דוחות אלה אינם מציינים מקור.
סורק האבטחה של Bluebox מדווח על נתוני טלמטריה אנונימיים לחלוטין אל Bluebox בכל פעם שמישהו מבצע סריקה. אחד הפריטים הכלולים בטלמטריה הוא האם המכשיר מוגדר לאפשר אפליקציות ממקורות לא מהימנים.
פורריאל אתגר את הקהל לנחש כמה משתמשים מבטלים את ההגנה מפני מקורות לא מהימנים, במרווחים של 25 אחוזים. ניחשתי בין 50 ל 75 אחוז, וקלעתי. "כמה משתמשים מאפשרים מקורות לא מהימנים?" שאל פורריאל. "69 אחוז מהאנשים הפכו את המתג!"
הוא ציין כי המדגם היה רק רבע מיליון משתמשים. "אני מרגיש שהנתון של 69 אחוז הוא גבוה, " אמר פוריסטאל, "כנראה בגלל אוכלוסיית הדגימה שלנו. הייתי שמח לראות את זה על 10 או 100 מיליון. אפילו אם זה היה קרוב יותר ל 20 אחוז, זה עדיין גדול, גדול יותר ממה ש'מומחים 'חושבים."
למה כל כך גבוה?
"יש הרבה סיבות להניע משתמשים להשבית את ההגנה הזו", ציין פורסטול. "זה לא רק עבור יישומים פיראטיים. אמזון אפלסטור, למשל, הם עושים הרבה כדי להבטיח שהוא ללא תוכנות זדוניות, אבל אם אתה שם את זה במכשיר שאינו אמזון, שלב ראשון להתקנה הוא לאפשר אפליקציות ממקורות אחרים מאשר Google Play. ארגונים צריכים להגדיר את זה לפתרונות BYOD ו- MDM שלהם, ולהפיץ אפליקציות פנימיות."
"יש מספר סיבות משכנעות לשנות את ההגדרה הזו", סיכם פוריסטול, "וברגע שהם ישנו אותה, היא לא תוחזר." כמובן שזו אותה טענה שחלק מהמומחים נהגו לחזות ששום משתמש לא יבצע את השינוי מלכתחילה - זו פשוט יותר מדי עבודה.
הגדרה זו איננה רלוונטית באופן תיאורטי אם אתה אף פעם לא הולך לשום מקום ליישומים מלבד גוגל פליי, אך מדוע לקחת סיכונים? אם הייתי משתמש אנדרואיד, הייתי בהחלט מאפשר את האיסור על מקורות אפליקציות לא אמינים.