Dare un senso all'ultimo spavento di sicurezza Android 'master key'

Niente spin, niente cazzate, solo chiacchiere semplici su quello che sta succedendo questa volta

Sono necessari alcuni discorsi reali su questo exploit scoperto dal team di sicurezza di Bluebox. La prima cosa da sapere è che probabilmente sei interessato. È un exploit che funziona su ogni dispositivo che non è stato patchato da Android 1.6. Se hai effettuato il root e il ROM del tuo telefono, puoi ignorare liberamente tutto questo. Niente di tutto ciò conta per te, perché esiste un insieme completamente diverso di problemi di sicurezza che derivano dalle ROM di root e personalizzate di cui ti devi preoccupare.

Se non hai la famigerata casella di autorizzazione "Origini sconosciute" selezionata nelle tue impostazioni, tutto ciò non significa nulla per te. Prosegui e sentiti libero di essere un po 'compiaciuto e pieno di autostima: te lo meriti per aver evitato il sideload per tutto questo tempo nel caso in cui potesse succedere qualcosa del genere. Se non sai cosa significa, chiedi a qualcuno.

Per il resto di noi, leggi oltre l'interruzione.

Altro: IDG News Service.

Che cos'è?

Tutte le app sul tuo Android sono firmate con una chiave crittografica. Quando è il momento di aggiornare quell'app, la nuova versione deve avere la stessa firma digitale della vecchia o non verrà sovrascritta. Non puoi aggiornarlo, in altre parole. Non ci sono eccezioni e gli sviluppatori che perdono la chiave di firma devono creare un'app nuovissima che dobbiamo scaricare di nuovo. Ciò significa partire da zero. Tutti i nuovi download, tutte le nuove recensioni e valutazioni. Non è una cosa da poco.

Anche le app di sistema - quelle installate sul telefono da HTC, Samsung o Google - hanno una chiave. Queste app hanno spesso l'accesso completo dell'amministratore a tutto sul tuo telefono, perché sono app affidabili del produttore. Ma sono ancora solo app.

Mi stai ancora seguendo?

Quello di cui stiamo parlando ora, di cosa sta parlando Bluebox, è un metodo per aprire un'app Android e cambiare il codice senza disturbare la chiave crittografica. Facciamo il tifo quando gli hacker aggirano i bootloader bloccati, e questo è lo stesso tipo di exploit. Quando blocchi qualcosa, altri troveranno un modo se provano abbastanza. E quando la tua piattaforma è la più popolare al mondo, le persone si impegnano molto.

Quindi, qualcuno può prendere un'applicazione di sistema da un telefono. Basta estrarlo. Usando questo exploit, possono modificarlo per fare cose cattive: dargli un nuovo numero di versione e rimetterlo insieme mantenendo la stessa chiave di firma valida. Potresti quindi installare questa app proprio sopra la tua copia esistente e ora hai un'app progettata per fare cose cattive e ha accesso completo a tutto il tuo sistema. Per tutto il tempo, l'app apparirà e si comporterà normalmente - non saprai mai qualcosa di strano.

Yikes.

Cosa si sta facendo al riguardo?

La gente di Bluebox ne ha parlato a Open Handset Alliance a febbraio. Google e gli OEM sono responsabili di correggere le cose per evitarlo. Samsung ha fatto la sua parte con il Galaxy S4, ma ogni altro telefono che vendono è vulnerabile. HTC e One non hanno fatto il taglio, quindi tutti i telefoni HTC sono vulnerabili. In effetti, ogni telefono tranne la versione Samsung Touchwiz Galaxy S4 è vulnerabile.

Google non ha ancora aggiornato Android per correggere questo problema. Immagino che ci stiano lavorando sodo - vedi i problemi di Chainfire durante il rooting di Android 4.3. Ma Google non è rimasto fermo o ignorato. Google Play Store è stato "patchato" in modo che nessuna app manomessa possa essere caricata sui server di Google. Ciò significa che qualsiasi app scaricata da Google Play è pulita, almeno per quanto riguarda questo particolare exploit. Ma posti come Amazon, Slide Me e, naturalmente, tutti quei forum APK incrinati là fuori sono spalancati e ogni applicazione potrebbe avere JuJu cattivo al suo interno.

Quindi questo è davvero un grosso problema?

Sì, è un affare enorme. E allo stesso tempo, no, in realtà non lo è.

Google correggerà il modo in cui Android aggiorna le app o il modo in cui sono firmate. In questo gioco gatto e topo, questo è un evento normale. Google rilascia software, gli hacker (sia quelli buoni che quelli cattivi) cercano di sfruttarlo e quando lo fanno Google cambia il codice. Ecco come funziona il software e questo genere di cose dovrebbe essere previsto quando hai abbastanza persone intelligenti che cercano di entrare.

D'altra parte, il telefono che hai ora potrebbe non vedere mai un aggiornamento per risolvere questo problema. Al diavolo, Samsung ha impiegato quasi un anno per applicare una patch al browser contro un exploit che potrebbe cancellare tutti i dati dell'utente su solo alcuni dei suoi telefoni. Se hai un telefono che prevedi di aggiornare ad Android 4.3, probabilmente verrai aggiornato. In caso contrario, è supposizione di nessuno. Questo è male - molto male. Non sto cercando di scartare le persone che fabbricano i nostri telefoni, ma la verità è verità.

Cosa posso fare?

• Non scaricare app al di fuori di Google Play.
• Non scaricare app al di fuori di Google Play.
• Non scaricare app al di fuori di Google Play.
• In effetti, vai avanti e disattiva l'autorizzazione Origini sconosciute, se lo desideri. L'ho fatto. Qualsiasi altra cosa ti rende vulnerabile. Alcune app "Anti-Virus" controlleranno se hai fonti sconosciute abilitate se non sei sicuro. Entra nei forum e scopri quale tutti dicono sia il migliore, se necessario.
• Esprimi il tuo disappunto per non aver ricevuto gli aggiornamenti di sicurezza essenziali per il tuo telefono. Soprattutto se hai ancora quel contratto di due anni (o tre anni - ciao Canada!).
• Esegui il root del tuo telefono e installa una ROM che abbia una sorta di correzione: probabilmente quelle popolari si accenderanno molto presto.

Quindi non fatevi prendere dal panico. Ma sii proattivo e usa un po 'di buon senso. Ora è davvero un buon momento per interrompere l'installazione di app crackate, perché le persone che eseguono il cracking sono lo stesso tipo di persone che potrebbero inserire codice malvagio nell'app. Se ricevi avvisi di aggiornamento che provengono da un luogo diverso da Google Play, informa qualcuno. Dicci se è necessario. Capire le persone che stanno cercando di trasmettere questi exploit e dare loro una forte dose di vergogna pubblica ed esposizione. Gli scarafaggi odiano la luce.

Questo passerà come fanno sempre le paure della sicurezza, ma un altro interverrà per riempire le sue scarpe. Questa è la natura della bestia. Stai al sicuro ragazzi.