Logo pt.androidermagazine.com
Logo pt.androidermagazine.com
» Notícia
Notícia

Compreendendo o mais recente susto de segurança da 'chave mestra' do Android

Compreendendo o mais recente susto de segurança da 'chave mestra' do Android

Índice:

Anonim

Sem rotação, sem besteira, apenas uma conversa simples e clara sobre o que está acontecendo neste momento

Alguma conversa real sobre essa exploração que a equipe de segurança do Bluebox descobriu é necessária. A primeira coisa a saber é que você provavelmente é afetado. É uma exploração que funciona em todos os dispositivos que não foram corrigidos desde o Android 1.6. Se você enraizou e instalou o telefone na ROM, pode ignorar tudo isso livremente. Nada disso conta para você, porque existe um conjunto totalmente diferente de preocupações de segurança que vêm com ROMs raiz e personalizadas para você se preocupar.

Se você não tiver a infame caixa de permissão "Fontes desconhecidas" marcada nas suas configurações, tudo isso não significa nada para você. Continue e sinta-se à vontade para ser um pouco presunçoso e honesto - você merece evitar o carregamento lateral durante todo esse tempo, caso algo assim possa acontecer. Se você não sabe o que isso significa, pergunte a alguém.

Para o resto de nós, leia além do intervalo.

Mais: IDG News Service.

O que é isso?

Todos os aplicativos no seu Android são assinados com uma chave criptográfica. Quando chegar a hora de atualizar esse aplicativo, a nova versão deve ter a mesma assinatura digital que a antiga ou não será substituída. Você não pode atualizá-lo, em outras palavras. Não há exceções, e os desenvolvedores que perdem a chave de assinatura precisam criar um aplicativo totalmente novo que precisamos baixar novamente. Isso significa começar do zero. Todos os novos downloads, todas as novas críticas e classificações. Não é uma questão trivial.

Os aplicativos do sistema - aqueles que foram instalados no seu telefone pela HTC, Samsung ou Google - também possuem uma chave. Esses aplicativos geralmente têm acesso completo de administrador a tudo no seu telefone, porque são aplicativos confiáveis ​​do fabricante. Mas eles ainda são apenas aplicativos.

Ainda está me seguindo?

O que estamos falando agora, o que o Bluebox está falando, é um método para abrir um aplicativo Android e alterar o código sem perturbar a chave criptográfica. Nós aplaudimos quando os hackers rodeiam os gerenciadores de inicialização bloqueados, e esse é o mesmo tipo de exploração. Quando você trava alguma coisa, outras pessoas encontrarão uma maneira de tentar se esforçar o suficiente. E quando sua plataforma é a mais popular do planeta, as pessoas se esforçam muito.

Assim, alguém pode pegar um aplicativo de sistema de um telefone. Apenas puxe para fora. Usando essa exploração, eles podem editá-lo para fazer coisas desagradáveis ​​- fornecer um novo número de versão e agrupá-lo novamente, mantendo a mesma chave de assinatura válida. Você poderia instalar esse aplicativo potencialmente sobre sua cópia existente e agora possui um aplicativo projetado para fazer coisas ruins e com acesso completo a todo o sistema. O tempo todo, o aplicativo parecerá e se comportará normalmente - você nunca saberá que algo suspeito está acontecendo.

Caramba.

O que está sendo feito sobre isso?

O pessoal da Bluebox contou a toda a Open Handset Alliance sobre isso em fevereiro. O Google e os OEMs são responsáveis ​​por corrigir as coisas para evitar isso. A Samsung fez sua parte com o Galaxy S4, mas todos os outros telefones que eles vendem são vulneráveis. O HTC e o One não fizeram o corte, então todos os telefones da HTC estão vulneráveis. De fato, todos os telefones, exceto a versão Samsung Touchwiz Galaxy S4, são vulneráveis.

O Google ainda não atualizou o Android para corrigir esse problema. Eu imagino que eles estão trabalhando duro para isso - veja os problemas que Chainfire enfrentou no Android 4.3. Mas o Google também não ficou parado e ignorou. A loja do Google Play foi "corrigida" para que nenhum aplicativo adulterado possa ser carregado nos servidores do Google. Isso significa que qualquer aplicativo que você baixa do Google Play é limpo - pelo menos no que diz respeito a essa exploração específica. Mas lugares como Amazon, Slide Me e, claro, todos os fóruns de APK rachados por aí estão abertos e todos os aplicativos podem ter um JuJu ruim dentro dele.

Então isso é realmente um grande negócio?

Sim, é um grande negócio. E, ao mesmo tempo, não, na verdade não é.

O Google corrigirá a maneira como o Android atualiza os aplicativos ou a forma como eles são assinados. Nesse jogo de gato e rato, essa é uma ocorrência normal. O Google lança software, hackers (do tipo bom e do ruim) tentam explorá-lo e, quando o fazem, o Google altera o código. É assim que o software funciona, e esse tipo de coisa deve ser esperado quando você tem pessoas inteligentes o suficiente tentando invadir.

Por outro lado, o telefone que você possui agora pode nunca receber uma atualização para corrigir isso. Inferno, a Samsung levou quase um ano para corrigir o navegador contra uma exploração que poderia apagar todos os dados do usuário em apenas alguns de seus telefones. Se você possui um telefone que espera atualizar para o Android 4.3, provavelmente receberá um patch. Se não, é uma incógnita. Isso é ruim - muito ruim. Não estou tentando escandalizar as pessoas que fabricam nossos telefones, mas a verdade é a verdade.

O que eu posso fazer?

  • Não faça o download de aplicativos fora do Google Play.
  • Não faça o download de aplicativos fora do Google Play.
  • Não faça o download de aplicativos fora do Google Play.
  • De fato, vá em frente e desative a permissão Fontes desconhecidas, se quiser. Eu fiz. Qualquer outra coisa deixa você vulnerável. Alguns aplicativos "Antivírus" verificarão se você tem fontes desconhecidas ativadas, se não tiver certeza. Entre nos fóruns e descubra qual é o melhor para todos, se você precisar.
  • Expresse seu descontentamento por não receber atualizações de segurança essenciais para o seu telefone. Especialmente se você ainda está nesse contrato de dois anos (ou três anos - olá Canadá!).
  • Faça root no seu telefone e instale uma ROM que tenha algum tipo de correção - as populares provavelmente terão muito em breve.

Então não entre em pânico. Mas seja proativo e use algum senso comum. Agora é realmente um bom momento para parar de instalar aplicativos rachados, porque as pessoas que estão quebrando são o mesmo tipo de pessoas que poderiam colocar códigos maliciosos no aplicativo. Se você receber algum aviso de atualização proveniente de um local diferente do Google Play, informe alguém. Diga- nos se precisar. Descubra as pessoas que estão tentando transmitir essas façanhas e dê a elas uma dose pesada de vergonha e exposição pública. Baratas odeiam a luz.

Isso passará como sustos de segurança sempre acontecem, mas outro entrará para encher seus sapatos. Essa é a natureza da besta. Fique em segurança.

Notícia

Escolha dos editores