恶意文件再次进入Android市场,一系列应用程序被劫持,反向设计注入恶意代码,并与合法应用程序一起发布。
有两点需要事先提及 - 谷歌已经 从市场上 删除了这些应用程序 ,而这次它们只影响了中国的用户 ,这些用户也来自中国 。 如果你正在阅读这个故事,你可能是安全的,从来没有冒险。 但这仍然是一个大问题。 一组坏人(这是我的安全工作版)能够从合法的开发人员中解压缩应用程序,输入一些代码将SMS消息发送到中国订阅服务,然后采取一些非常巧妙的步骤来保持一切都隐藏在用户之外。 这将会发生,因为电子和流行的一切都是目标。 有关的部分是这些正在进入Android Market。
在休息之后,请允许我跟你说几句话。
来源:通过Sophos的AegisLabs; 谢谢,Tony Bag o'甜甜圈!
我被撕裂了。 作为一个用户和个人层面,我说让一切都开放,并强迫用户勤奋,只安装他们信任的应用程序,无论他们来自哪里。 了解权限是什么,以及应用程序可能需要或不需要它们的原因(即Adobe Reader)。 但作为一名博主和(希望)受到尊重的Android权威,我有责任让读者想要对他们最有利。 那是你们。 你们中的许多人都是你自己的权威人士,并且没有任何问题可以辨别什么是安全的,什么不是。 许多其他人不是,并依靠Android Central和其他互联网资源提供有关如何保持安全的良好建议。 这让我有点发酵。
在阅读关于这个的各种安全出版物时,我从Sophos的 Vanja Svajcer 那里得到了一个非常有趣的想法。 他的想法很简单,易于实现 - 我们需要的是两套签名密钥。 想要或需要执行诸如发送短信或使用联系人列表等操作的应用程序必须使用一组经过验证的密钥,这些密钥与经过Google批准的合法开发者帐户相关联。 让屁应用程序和主题继续使用用户生成的密钥 - 如果他们不打算做任何可能造成潜在安全问题的事情,请不要强迫业余爱好者为山景城的人们跳过任何环节。 但是,当应用想要访问您的电话簿或使用您的GMail authToken时,请检查签名密钥并进行验证。 保证用户安全,他们会保持快乐。 快乐的用户购买更多应用程序,以及更多Android产品。 火箭科学不是。 Vanja正好用这个钉在头上 - 你说,谷歌?
Anyhoo,这个已经结束了。 如果你很好奇,这里是受影响的应用程序列表。 请注意,他们都被迅速从市场中删除,并且仅影响具有中文区域设置和电话号码的用户。
- 我订了
- iCartoon
- 爱宝贝
- 3D立方体恐怖可怕
- 海球
- 的iCalendar
- iMatch
- 摇摇欲坠
- ShakeBanger
- 亚胺
- iGuide
我们会密切关注事情,并在下次发生时让您知道。 并且下一次将会有一个例子 - 像Handcent这样能够使用相同功能和开放性的应用程序,我们宁愿他们不会这样做。 在这一点上,我将不得不提出两件事:
- 使用“病毒”扫描程序。 是的,我知道Android没有任何病毒,但名字有点卡住了。 到目前为止,所有安全问题都要求最终用户安装它们。 只需使用手机,您就不会感染任何东西。 市场上有几种可供选择。 它们都有效,所以检查每个功能并做出选择。 然后很高兴我们让他们为我们做肮脏的工作。
- 不要安装任何你不应该的应用程序。 是的,它很诱人,我们使用Sideload Wonder Machine相当容易(但这不是我的意图!)。 安全博主在向你发出此警告时不仅会冒烟。 如果你有能力,点击其中一个盗版应用程序论坛并下载一些,然后对它们进行反向工程并将它们与官方版本进行比较。 如果你没有能力,那就相信我们吧。 其中大约一半的代码存在严重差异。 坚持使用您信任的应用。 或坚持市场 - 如果你遇到木马问题谷歌会解决你的问题。 开发人员不仅应该得到他们要求的辛苦工作,他们最终会更安全。
