Logo cn.androidermagazine.com
Logo cn.androidermagazine.com
» 新闻
新闻

理解最新的android'主密钥'安全恐慌

理解最新的android'主密钥'安全恐慌

目录:

Anonim

没有旋转,没有废话,只是简单地谈论这次发生的事情

需要对Bluebox安全团队发现的这种漏洞进行一些真实的讨论。 首先要知道的是,你可能受到了影响。 这是一个适用于自Android 1.6以来未经过修补的所有设备的漏洞。 如果您已经为手机设置了ROM,那么您可以自由地忽略所有这些。 这些对您来说都不重要,因为您可以担心root和自定义ROM带来完全不同的安全问题。

如果您没有在设置中检查臭名昭着的“未知来源”权限框,则这对您来说毫无意义。 继续,随意变得有点自鸣得意和自以为是 - 你应该避免在这种情况下避免侧载,以防万一这样的事情发生。 如果您不知道这意味着什么,请问某人。

对于我们其他人来说,请阅读休息时间。

更多:IDG新闻服务。

它是什么?

Android上的所有应用都使用加密密钥进行签名。 在更新该应用程序时,新版本必须具有与旧版本相同的数字签名,否则它将不会覆盖。 换句话说,你无法更新它。 没有例外,丢失签名密钥的开发人员必须创建一个全新的应用程序,我们必须重新下载。 这意味着从零开始。 所有新下载,所有新评论和评级。 这不是一件小事。

系统应用程序 - 从HTC或三星或谷歌手机上安装的应用程序 - 也有一个密钥。 这些应用通常拥有对手机上所有内容的完全管理员权限,因为它们是制造商提供的受信任应用。 但他们仍然只是应用程序。

还在跟着我?

我们现在谈论的是Bluebox正在谈论的,是一种撕开Android应用程序并更改代码而不会干扰加密密钥的方法。 当黑客绕过锁定的引导加载程序时,我们欢呼,这也是同样的漏洞。 当你锁定某些东西时,如果他们努力的话,其他人会找到一种方法。 当你的平台在地球上最受欢迎时,人们会非常努力。

因此,有人可以从手机上获取系统应用程序。 把它拉出来吧。 使用这个漏洞利用程序,他们可以对其进行编辑以执行令人讨厌的事情 - 给它一个新的版本号,然后将它打包回来,同时保持相同的有效签名密钥。 然后,您可以将此应用程序安装在现有副本的正上方,现在您可以使用专门用于执行错误操作的应用程序,并且可以完全访问整个系统。 整个时间,应用程序将看起来和行为正常 - 你永远不会知道有什么可疑的东西。

让人惊讶。

正在做什么呢?

Bluebox的人们在二月份向整个开放手机联盟讲述了这一点。 谷歌和原始设备制造商负责修补东西以防止它。 三星在Galaxy S4上发挥了作用,但他们销售的所有其他手机都很脆弱。 HTC和One没有削减,所以HTC的所有手机都很脆弱。 事实上,除三星Touchwiz版Galaxy S4之外的每部手机都很脆弱。

谷歌尚未更新Android以修补此问题。 我想他们正在努力工作 - 看看Chainfire已经通过Android 4.3的问题。 但谷歌并没有坐视不管而忽视它。 Google Play商店已经过“修补”,因此不会将篡改的应用上传到Google的服务器。 这意味着您从Google Play下载的任何应用都是干净的 - 至少在此特定漏洞利用方面。 但像亚马逊,Slide Me这样的地方,当然还有所有那些破解的APK论坛都是敞开的,每个应用程序都可能有不好的JuJu。

所以这是一个非常重要的事情?

是的,这是一个巨大的交易。 与此同时,不,它真的不是。

谷歌将修补Android更新应用程序的方式或签名方式。 在这种猫捉老鼠游戏中,这是正常现象。 谷歌发布了软件,黑客(无论是好的还是坏的)试图利用它,当谷歌改变代码时。 这就是软件的工作方式,当你有足够聪明的人试图闯入时,应该预料到这种情况。

另一方面,您现在拥有的手机可能永远不会看到更新来解决此问题。 地狱,三星花了差不多一年的时间来修补浏览器的漏洞,这个漏洞可能会删除 部分 手机上的所有用户数据。 如果您的手机预计会更新到Android 4.3,您可能会获得修补。 如果没有,这是任何人的猜测。 这很糟糕 - 非常糟糕。 我不是想对制造我们手机的人施加压力,但事实是真相。

我能做什么?

  • 请勿下载Google Play以外的任何应用。
  • 请勿下载Google Play以外的任何应用。
  • 请勿下载Google Play以外的任何应用。
  • 事实上,如果您愿意,请继续关闭“未知来源”权限。 我做到了。 其他任何事都让你很脆弱。 如果您不确定,某些“反病毒”应用程序将检查您是否启用了未知来源。 进入论坛,如果需要,找出每个人都说最好的论坛。
  • 表达您对未获得手机重要安全更新的不满。 特别是如果你还在那两年(或三年 - 你好加拿大!)的合同上。
  • 根你的手机,并安装一个有某种修复的ROM - 流行的可能很快就会有。

所以不要惊慌。 但要积极主动并使用一些常识。 现在是停止安装破解的应用程序的好时机,因为破解的人就是那些可以将恶意代码放入应用程序的人。 如果您收到来自Google Play以外地方的任何更新通知,请告诉其他人。 如果需要,请告诉 我们 。 找出那些试图传递这些漏洞并给予他们大量公众羞辱和曝光的人。 蟑螂讨厌光。

这将像安全恐慌一样通过,但另一个将介入填补它的鞋子。 这就是野兽的本性。 保持安全的家伙。

新闻

编辑的选择