Bluebox Security Bluebox Labs ir atklājis Android Bug, kas pastāv kopš Android versijas 1.6 Donut, kas tika izlaists 2009. gadā. Android ir bijis atvērtā koda projekts. Tas dod iespēju attīstīt lietotnes un pārdot tās Play veikalā vai jebkuras trešās puses lietotņu veikalā. Lai gan Google parūpējas par lietojumprogrammām, kas lietotājiem ir drošas, kamēr tās digitāli paraksta, bet, mēģinot lejupielādēt lietotnes no trešo pušu lietotņu veikaliem, varat viegli apdraudēt ierīces drošību.
Ļauj redzēt, kā tas patiesībā notiek un kā tas var novest pie ierīces ielaušanās.
Android ievainojamība:
Android lietojumprogrammas, lietojot lietotni, izmanto kriptogrāfiskos parakstus, kurus sistēma reģistrē. Papildu lietotnes atjauninājumiem ir jābūt tādiem pašiem kriptogrāfiskajiem parakstiem. Hakeri var lietot lietotni ar šiem likumīgajiem kriptogrāfiskajiem parakstiem, modificēt lietotni, pievienojot ļaunprātīgu kodu, un pēc tam izplatīt to, izmantojot neuzticamus trešo pušu lietotņu veikalus. Kad lietotājs instalē jauno lietotnes versiju, jaunā lietotne darbojas kā Trojan (izliekoties par to, kas tā nav), un, pamatojoties uz hakeru nolūku un atļauju, ko lietojumprogrammai piešķīrusi Android sistēma, lietotne var kontrolēt daudzus sistēmas kritiskajām jomām.
Kas var būt hacked vai kompromitēts:
Saskaņā ar Bluebox Security pētniekiem, hakeri var izjaukt ierīci, piekļūt visām sistēmas funkcijām, izveidot botnet, kas var radīt jebkādu likumīgu lietotni Trojanā. Turklāt šīs Trojas vai ļaunprātīgās lietojumprogrammas var izgūt no ierīces paroles, konta informāciju, kredītkartes un debetkartes informāciju, kontrolēt tālruni, SMS, e-pastu vai aparatūru, piemēram, kameru, mikrofonu un pat operētājsistēmu.
SKAT. ARĪ: 5 labākās fotogrāfijas, videoklipi un failu slēpšanas programmas Android
Kam ir šī ievainojamība:
Vairāk nekā 900 miljoni Android ierīču (planšetdatoru un tālruņu), kas darbojas Android versijā 1.6 vai jaunākā versijā, ieskaitot želejas pupiņas. Vienīgā ierīce, kas nosaka šo kļūdu, ir Samsung Galaxy S4 saskaņā ar GSMarena.
Kā Google risina šo problēmu:
Google atzina, ka Google izstrādātāji un ierīču ražotāji apzinās šo problēmu un drīz vien plāksteris novērsīs šo problēmu jaunākajos programmatūras atjauninājumos.
Google ir arī apstiprinājusi, ka Google spēlē nav nevienas esošas lietotnes, kas varētu izmantot šo ievainojamību, Google izmanto ārkārtas piesardzības un drošības pasākumus, nodarbojoties ar šiem lietotnēm Play veikalā.
Novēršana ir labāka nekā ārstēšana, kā būt piesardzīgiem:
Tā kā katrai Android ierīcei, kurā darbojas Android versija 1.6 vai jaunāka (izņemot Galaxy S4), ir šī kļūda, lietotājiem vajadzētu izvairīties no lietotņu lejupielādes no neuzticamām trešās puses lietotņu veikaliem, kas piedāvā krekinga lietotnes / maksas lietotnes bez maksas vai bezmaksas. Lai gan lietojumprogramma var izskatīties droša saskaņā ar ciparparakstiem, taču sākotnējā kodā var būt iekļauts ļaunprātīgs kods.
Veicot tiešsaistes darījumus, izmantojot trešo pušu lietojumprogrammas, veiciet vislielāko rūpību, nekad nemēģiniet izmantot kredītkaršu / debetkaršu vai konta informāciju ar lietotnēm, kas nav instalētas no drošas un uzticamas lietotnes veikala.
Un visbeidzot, bet ne vismazāk instalējiet jebkuru labu antivīrusu lietotni un noņemiet atzīmi no programmas instalēšanas no nezināmiem tirgiem drošības sistēmā saskaņā ar Android iestatījumiem, mēģiniet iegādāties pro versijas nekā paļauties uz bezmaksas antivīrusu lietotnēm, kas nodrošina vairāk drošības elementu, salīdzinot ar bezmaksas versijām.
Turpiniet pārbaudīt jaunus programmatūras atjauninājumus, agrāk vai vēlāk ierīces ražotājs gatavojas labot kļūdu.
Image pieklājīgi: thehackernews
