Arquivos maliciosos voltaram a entrar no Android Market, com um conjunto de aplicativos sendo seqüestrados, com engenharia reversa com código malicioso injetado e publicados juntamente com os aplicativos legítimos.
Duas coisas precisam ser mencionadas com antecedência: o Google já removeu os aplicativos do Market e, dessa vez , afetou apenas os usuários na China, de onde também se originam. Se você está lendo esta história, provavelmente está seguro e nunca esteve em risco. Mas isso ainda é uma grande preocupação. Um conjunto de bandidos (que é minha versão segura para o trabalho) conseguiu compilar aplicativos de um desenvolvedor legítimo, inserir um código que envia mensagens SMS para um serviço de assinatura chinês e, em seguida, tomou algumas medidas realmente engenhosas para manter tudo oculto do usuário. Isso vai acontecer, porque tudo o que é eletrônico e popular o suficiente é um alvo. A parte preocupante é que elas estão chegando ao Android Market.
Permita-me ter algumas centenas de palavras com você sobre isso, depois do intervalo.
Fonte: AegisLabs via Sophos; Obrigado, Tony Bag o 'Donuts!
Estou dividido. Como usuário e em nível pessoal, digo que deixem tudo aberto, forçamos os usuários a serem diligentes e instalem apenas aplicativos em que confiam, independentemente de onde eles venham. Saiba quais são as permissões e por que um aplicativo pode ou não precisar delas (por exemplo, Adobe Reader). Mas como blogueiro e (espero) respeitado a autoridade do Android, tenho a responsabilidade de nossos leitores de querer o melhor para eles. São vocês. Muitos de vocês são respeitados pelas autoridades do Android e não têm problema em discernir o que é seguro e o que não é. Muitos outros não são e dependem do Android Central e de outros recursos da Internet para oferecer bons conselhos sobre como se manter seguro. Isso me deixa meio confuso.
Ao ler as várias publicações de segurança sobre essa, me deparei com uma ideia realmente interessante de Vanja Svajcer, da Sophos. Sua ideia é simples e fácil de implementar - o que precisamos é de dois conjuntos de chaves de assinatura. Os aplicativos que desejam ou precisam fazer coisas como enviar mensagens SMS ou brincar com sua lista de contatos devem ter que usar um conjunto de chaves verificadas vinculadas a uma conta de desenvolvedor legítima aprovada pelo Google. Deixe que os aplicativos e temas peidos continuem usando as chaves geradas pelos usuários - não force os desenvolvedores de hobby a contornar as barreiras para as pessoas em Mountain View, se não estiverem fazendo algo que possa criar um possível problema de segurança. Porém, no momento em que um aplicativo quiser acessar sua lista telefônica ou usar o GMT authToken, verifique a chave de assinatura e verifique-a. Mantenha os usuários seguros e eles permanecerão felizes. Usuários felizes compram mais aplicativos e mais produtos Android. Ciência de foguetes não é. Vanja bateu na unha diretamente na cabeça com esta - o que você diz, Google?
Anyhoo, esse acabou e acabou. Se você estiver curioso, aqui está uma lista dos aplicativos afetados. Observe que todos eles foram removidos imediatamente do Market e afetaram apenas usuários com código de idioma e número de telefone em chinês.
- iBook
- iCartoon
- Amor bebê
- Horror cubo 3D terrível
- Sea Ball
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- iMine
- iGuide
Vamos ficar de olho nas coisas e informá-lo da próxima vez que isso acontecer. E haverá uma próxima vez - o compromisso de poder ter aplicativos de ponta como o Handcent é ter aplicativos que usam as mesmas funções e abertura para coisas que preferimos que não usassem. Neste ponto, vou ter que sugerir duas coisas:
- Use um scanner de "vírus". Sim, eu sei que não há vírus para o Android, mas os nomes ficam presos. Até agora, todos os problemas de segurança exigiram que o usuário final quisesse instalá-los. Você não será infectado com nada apenas usando seu telefone. Existem vários no mercado para escolher. Todos eles funcionam, portanto verifique os recursos de cada um e faça uma escolha. Então fique feliz por tê-los a fazer o trabalho sujo para nós.
- Não instale nenhum aplicativo que você não deveria. Sim, é tentador e facilitamos bastante com a Sideload Wonder Machine (mas essa não era minha intenção!). Os blogueiros de segurança não estão apenas soprando fumaça quando avisam sobre isso. Se você for capaz, acesse um desses fóruns de aplicativos piratas e faça o download de um punhado, faça engenharia reversa e compare-os com as versões oficiais. Se você não é capaz, basta confiar em nós. Cerca de metade deles tem sérias diferenças no código. Fique com os aplicativos em que confia. Ou fique atento ao mercado - se você ficar preso a um cavalo de Troia, o Google o consertará. Não apenas os desenvolvedores merecem os poucos dólares que estão pedindo por seu trabalho duro, mas você estará mais seguro no final.
