บ้าน Securitywatch ข้อผิดพลาดคีย์หลักของ Android ไม่ใช่ความเสี่ยงหากคุณใช้ Google Play

ข้อผิดพลาดคีย์หลักของ Android ไม่ใช่ความเสี่ยงหากคุณใช้ Google Play

วีดีโอ: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (ธันวาคม 2024)

วีดีโอ: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (ธันวาคม 2024)
Anonim

ช่องโหว่ในระบบปฏิบัติการ Android ช่วยให้ผู้โจมตีใช้แอปที่มีอยู่แล้วฉีดโค้ดที่เป็นอันตรายและบรรจุใหม่ในลักษณะที่สามารถหลอกว่าเป็นแอปดั้งเดิมได้ คุณควรจะกังวลไหม

นักวิจัยที่ Bluebox Security พบข้อบกพร่องในวิธีการตรวจสอบลายเซ็นเข้ารหัสสำหรับแอพ Jeff Forristal, CTO ของ Bluebox เขียนไว้ในบล็อกของ บริษัท 3 กรกฎาคมซึ่งหมายความว่าผู้โจมตีสามารถปรับเปลี่ยนแอพได้โดยไม่ต้องเปลี่ยนลายเซ็นเข้ารหัสลับ

ข้อบกพร่องดังกล่าวมีมาตั้งแต่ Android 1.6 ("Donut") และสร้างอุปกรณ์ "99 เปอร์เซ็นต์" หรือ "โทรศัพท์ Android ที่วางจำหน่ายในช่วงสี่ปีที่ผ่านมา" มีความเสี่ยงที่จะถูกโจมตี Forristal กล่าว

สถานการณ์ที่น่ากลัวมีลักษณะดังนี้แอพที่ถูกต้อง (ตัวอย่างเช่นแอป Google) ได้รับการแก้ไขเพื่อขโมยรหัสผ่านหรือเชื่อมต่ออุปกรณ์เข้ากับบ็อตเน็ตและปล่อยให้ผู้ใช้ดาวน์โหลด เนื่องจากทั้งสองแอพมีลายเซ็นดิจิทัลเหมือนกันจึงเป็นการยากที่ผู้ใช้จะทราบว่าของจริงหรือของปลอมเป็นอย่างไร

ก็ไม่ได้จริงๆ

ฉันอยู่ในอันตรายหรือไม่?

Google อัปเดต Google Play เพื่อให้มีการตรวจสอบเพื่อปิดกั้นแอปที่เป็นอันตรายใด ๆ ที่ใช้การโกงนี้เพื่อปลอมแปลงเป็นแอพอื่น ๆ

หากคุณติดตั้งแอพและอัปเดตจาก Google Play แสดงว่าคุณไม่ต้องเสี่ยงกับการถูกเอารัดเอาเปรียบนี้เนื่องจาก Google ได้ดำเนินการตามขั้นตอนเพื่อรักษาความปลอดภัยของตลาดแอพ หากคุณดาวน์โหลดแอพจากตลาดของบุคคลที่สามแม้แต่แอพกึ่งทางการเช่นร้านค้าแอพ Samsung และ Amazon คุณก็ตกอยู่ในความเสี่ยง ในขณะนี้อาจมีมูลค่าการถือครองในการใช้ตลาดเหล่านั้น

Google แนะนำให้ผู้ใช้อยู่ห่างจากตลาดแอพ Android ของบุคคลที่สาม

ฉันจะทำอะไรได้อีก

สิ่งสำคัญคือต้องจำไว้ว่าคุณควรดูว่านักพัฒนาคือใคร แม้ว่าแอพที่ถูก Trojan จะทำผ่าน Google Play หรือถ้าคุณอยู่ในร้านแอพอื่น ๆ แอพนั้นจะไม่ปรากฏในรายชื่อผู้พัฒนาดั้งเดิม ตัวอย่างเช่นหากผู้โจมตีทำการบรรจุหีบห่อ Angry Birds โดยใช้ช่องโหว่นี้เวอร์ชันใหม่จะไม่ปรากฏในบัญชีของ Rovio

หากคุณต้องการให้แน่ใจว่าคุณไม่สามารถติดตั้งแอพจากแหล่งบุคคลที่สามให้ไปที่การตั้งค่า> ความปลอดภัยและตรวจสอบให้แน่ใจว่าไม่ได้เลือกช่องทำเครื่องหมายสำหรับการติดตั้งแอพจาก "แหล่งที่ไม่รู้จัก"

หากคุณมี Android เวอร์ชันล่าสุดคุณจะได้รับการปกป้องด้วยระบบสแกนแอพในตัวเนื่องจากจะสแกนแอพที่มาจากแหล่งอื่นนอกเหนือจาก Google Play นั่นหมายความว่าแม้ว่าคุณจะติดตั้งแอพที่ไม่ถูกต้องโดยไม่ตั้งใจโทรศัพท์ของคุณยังสามารถบล็อกรหัสที่เป็นอันตรายได้

นอกจากนี้ยังมีแอพรักษาความปลอดภัยสำหรับ Android ซึ่งสามารถตรวจจับพฤติกรรมที่เป็นอันตรายและแจ้งเตือนคุณเกี่ยวกับแอพที่ละเมิด PCMag แนะนำ Bitdefender Mobile Security ของ Editors 'Choice

การโจมตีมีแนวโน้มหรือไม่

“ เพียงเพราะ 'มาสเตอร์คีย์' ยังไม่ถูกใช้ประโยชน์ไม่ได้หมายความว่าเราสามารถพักอยู่ในลอเรลของเราได้” เกรย์สันมิลบอร์นผู้อำนวยการหน่วยสืบราชการลับด้านความปลอดภัยที่ Webroot กล่าวกับ SecurityWatch การรักษาความปลอดภัยมือถือควรเกี่ยวกับการปกป้องอุปกรณ์จากทุกด้าน - การป้องกันข้อมูลส่วนบุคคลเพื่อปกป้องรหัสผ่านและข้อมูลส่วนบุคคลอื่น ๆ การปิดกั้นมัลแวร์และแอปที่เป็นอันตรายและสามารถค้นหาอุปกรณ์ได้หากอุปกรณ์สูญหายหรือถูกขโมย

Bluebox รายงานข้อบกพร่องถึง Google ในเดือนกุมภาพันธ์และ Google ได้ส่ง patch ไปให้พันธมิตรฮาร์ดแวร์ใน Open Handset Alliance แล้ว ผู้ผลิตโทรศัพท์มือถือหลายรายออกแพตช์เพื่อแก้ไขปัญหาแล้ว ตอนนี้ผู้ให้บริการจะต้องผลักดันการแก้ไขลงไปที่ผู้ใช้ของพวกเขา

“ ขึ้นอยู่กับผู้ผลิตอุปกรณ์ในการผลิตและปล่อยการอัปเดตเฟิร์มแวร์สำหรับอุปกรณ์มือถือ (และสำหรับผู้ใช้ในการติดตั้งการอัปเดตเหล่านี้) "Forristal กล่าว Bluebox วางแผนที่จะเปิดเผยรายละเอียดเพิ่มเติมระหว่างการประชุม Black Hat ในลาสเวกัสเมื่อปลายเดือนนี้

Pau Oliva Fora วิศวกร บริษัท รักษาความปลอดภัยมือถือผ่าน Forensics โพสต์หลักฐานการใช้ประโยชน์จากช่องโหว่ใน Github 8 กรกฎาคม Fora สร้างเชลล์สคริปต์หลังจากอ่านรายละเอียดของข้อบกพร่องที่โพสต์โดยทีม Cyanogenmod Cyanogenmod เป็นรุ่นยอดนิยมของ Android ที่ผู้ใช้สามารถติดตั้งลงในอุปกรณ์ของพวกเขา ทีมได้ทำการแก้ไขข้อบกพร่องแล้ว

หากคุณเป็นผู้โชคดีที่ได้รับการอัปเดต Android จากผู้ให้บริการของคุณตรวจสอบให้แน่ใจว่าคุณดาวน์โหลดและติดตั้งทันที แม้ว่าความเสี่ยงจะต่ำการอัปเดตระบบปฏิบัติการก็เป็นเพียงแค่ความปลอดภัยที่ดี

ข้อผิดพลาดคีย์หลักของ Android ไม่ใช่ความเสี่ยงหากคุณใช้ Google Play