Video: App Bundles: Everything to know about Play App Signing - MAD Skills (Oktober 2024)
En sårbarhet i Android-operativsystemet lar angripere ta en eksisterende app, injisere skadelig kode og pakke den inn på en slik måte at den kan late som om den er den opprinnelige appen. Bør du være bekymret?
Forskere ved Bluebox Security fant feilen i måten kryptografiske signaturer for apper blir bekreftet, skrev Jeff Forristal, CTO for Bluebox, på firmabloggen 3. juli. Dette betyr at angripere kan endre appen uten å endre kryptografisk signatur, sa Forristal.
Feilen har eksistert siden Android 1.6 ("Donut") og gjort "99 prosent" av enheter, eller "hvilken som helst Android-telefon som er utgitt i løpet av de siste fire årene" sårbare for angrep, hevdet Forristal.
Det skumle scenariet går noe slikt: en legitim app (for eksempel en Google-app) blir endret for å stjele passord eller koble enheten til et botnet og utgitt for brukere å laste ned. Siden begge appene har den samme digitale signaturen, vil det være vanskelig for brukerne å vite hvilken som er ekte og hvilken som er falsk.
Vel, egentlig ikke.
Er jeg i fare?
Google oppdaterte Google Play slik at det er kontroller for å blokkere ondsinnede apper som bruker denne utnyttelsen til å maskere seg som en annen app.
Hvis du installerer apper og oppdateringer fra Google Play, risikerer du ikke denne utnyttelsen, siden Google har tatt skritt for å sikre appmarkedet. Hvis du laster ned apper fra tredjeparts markedsplasser, til og med semi-offisielle som Samsung og Amazon app-butikker, er du i faresonen. Foreløpig kan det være verdt å holde på med å bruke disse markedsplassene.
Google anbefaler at brukere holder seg unna tredjepartsmarkeder for Android-apper.
Hva annet kan jeg gjøre?
Det er også viktig å huske at du alltid bør se på hvem utvikleren er. Selv om en trojanisert app gjør det gjennom Google Play, eller hvis du er i en annen app-butikk, blir ikke appen oppført under den opprinnelige utvikleren. Hvis for eksempel angripere pakker inn Angry Birds ved hjelp av dette sikkerhetsproblemet, vil den nye versjonen ikke være oppført under Rovios konto.
Hvis du vil være sikker på at du ikke kan installere apper fra tredjepartskilder, kan du gå til Innstillinger> Sikkerhet og sørge for at avmerkingsboksen for installering av apper fra "ukjente kilder" ikke er merket av.
Hvis du har den nyeste versjonen av Android, er du også beskyttet av det innebygde app-skanningssystemet når det skanner apper som kommer fra andre kilder enn Google Play. Det betyr at selv om du feilaktig installerer en dårlig app, kan telefonen fremdeles blokkere den ondsinnede koden.
Det finnes også sikkerhetsapper for Android som kan oppdage ondsinnet oppførsel og varsle deg om den krenkende appen. PCMag anbefaler våre redaktører 'Choice Bitdefender Mobile Security.
Er et angrep sannsynlig?
"Bare fordi 'hovednøkkelen' ennå ikke er utnyttet, betyr ikke det at vi kan hvile på laurbærene våre, " sa Grayson Milbourne, direktør for sikkerhetsinformasjon på Webroot, til SecurityWatch . Mobilsikkerhet bør handle om å beskytte enheten fra alle sider - identitetsbeskyttelse for å beskytte passord og annen personlig informasjon, blokkering av skadelig programvare og ondsinnede apper og å kunne finne enheten hvis den går tapt eller blir stjålet, sa Milbourne.
Bluebox rapporterte feilen til Google tilbake i februar, og Google har allerede presset ut en oppdatering til maskinvarepartnerne i Open Handset Alliance. Flere håndsettprodusenter har allerede utgitt oppdateringer for å løse problemet. Bærerne må nå skyve fiksen ned til sluttbrukerne.
Forristal sa "Det er opp til enhetsprodusenter å produsere og gi ut firmwareoppdateringer for mobile enheter (og dessuten for brukere å installere disse oppdateringene). Bluebox planlegger å avsløre flere detaljer under Black Hat-konferansen i Las Vegas i slutten av denne måneden.
Pau Oliva Fora, en ingeniør med mobilsikkerhetsselskap viaForensics, la ut et bevis på konseptet som utnyttet sårbarheten på github 8. juli. Fora opprettet skallskriptet etter å ha lest detaljer om feilen lagt ut av Cyanogenmod-teamet. Cyanogenmod er en populær versjon av Android som brukere kan installere på enhetene sine. Laget har allerede lappet feilen.
Hvis du er blant de heldige få brukerne som mottar en Android-oppdatering fra operatøren din, må du laste ned og installere den med en gang. Selv om risikoen er liten, er det bare god sikkerhet å oppdatere operativsystemet.
