Logo fr.androidermagazine.com
Logo fr.androidermagazine.com

Donner un sens à la dernière alerte de sécurité «clé principale» sous Android

Table des matières:

Anonim

Pas de rotation, pas de conneries, il suffit de clarifier le discours sur ce qui se passe cette fois-ci

Certains discussions sur cet exploit que l’équipe de sécurité Bluebox a découvertes sont nécessaires. La première chose à savoir est que vous êtes probablement affecté. C'est un exploit qui fonctionne sur tous les appareils qui n'ont pas été corrigés depuis Android 1.6. Si votre téléphone est enraciné et en ROM, vous pouvez librement ignorer tout cela. Rien de tout cela ne compte pour vous, car vous devez vous inquiéter des problèmes de sécurité inhérents aux ROM racine et personnalisée.

Si vous n'avez pas coché la case "Sources inconnues" dans vos paramètres, tout cela ne signifie rien pour vous. Continuez, et sentez-vous libre d'être un peu suffisant et juste - vous le méritez pour éviter de vous décharger de tout son poids au cas où cela se produirait. Si vous ne savez pas ce que cela signifie, demandez à quelqu'un.

Pour le reste d'entre nous, lisez après la pause.

Plus: IDG News Service.

Qu'Est-ce que c'est?

Toutes les applications de votre Android sont signées avec une clé cryptographique. Lorsqu'il est temps de mettre à jour cette application, la nouvelle version doit avoir la même signature numérique que l'ancienne, sinon elle ne sera pas écrasée. Vous ne pouvez pas le mettre à jour, en d'autres termes. Il n'y a pas d'exception, et les développeurs qui perdent leur clé de signature doivent créer une nouvelle application que nous devons télécharger à nouveau. Cela signifie à partir de zéro. Tous les nouveaux téléchargements, toutes les nouvelles critiques et évaluations. Ce n'est pas une mince affaire.

Les applications système - celles fournies avec HTC, Samsung ou Google - ont également une clé. Ces applications ont souvent un accès administrateur complet à tout ce qui se trouve sur votre téléphone, car ce sont des applications approuvées par le fabricant. Mais ce ne sont toujours que des applications.

Vous me suivez toujours?

Ce dont nous parlons maintenant, ce dont parle Bluebox, est une méthode pour ouvrir une application Android et modifier le code sans perturber la clé cryptographique. Nous nous réjouissons lorsque des pirates informatiques contournent des chargeurs de démarrage verrouillés. Il s’agit du même exploit. Lorsque vous verrouillez quelque chose, les autres trouveront un moyen d'entrer s'ils font assez d'efforts. Et lorsque votre plate-forme est la plus populaire sur la planète, les gens essaient très fort.

Ainsi, quelqu'un peut prendre une application système à partir d'un téléphone. Tirez simplement dessus. En utilisant cet exploit, ils peuvent l'éditer pour faire des choses désagréables - lui attribuer un nouveau numéro de version et le recompiler en conservant la même clé de signature valide. Vous pouvez ensuite potentiellement installer cette application directement sur votre copie existante. Vous disposez maintenant d'une application conçue pour faire le mal et elle a un accès complet à l'ensemble de votre système. Pendant tout ce temps, l'application aura l'air et se comportera normalement - vous ne saurez jamais qu'il se passe quelque chose de louche.

Beurk.

Que fait-on à ce sujet?

Les employés de Bluebox en ont parlé à l'ensemble Open Handset Alliance en février. Google et les équipementiers sont responsables de l'application de correctifs afin d'éviter ce problème. Samsung a fait sa part avec le Galaxy S4, mais tout autre téléphone vendu est vulnérable. HTC et le One n'ont pas réussi, alors tous les téléphones de HTC sont vulnérables. En fait, tous les téléphones, à l'exception de la version Samsung Touchwiz Galaxy S4, sont vulnérables.

Google n'a pas encore mis à jour Android pour corriger ce problème. J'imagine qu'ils travaillent dur - voir les problèmes que Chainfire a traversés pour enraciner Android 4.3. Mais Google n'est pas resté les bras croisés et l'a ignoré non plus. Le magasin Google Play a été «corrigé» afin qu'aucune application altérée ne puisse être téléchargée sur les serveurs de Google. Cela signifie que toutes les applications que vous téléchargez sur Google Play sont propres, du moins en ce qui concerne cet exploit. Mais des endroits comme Amazon, Slide Me, et bien sûr tous ces forums APK craqués sont largement ouverts et chaque application pourrait avoir un mauvais JuJu à l'intérieur.

Donc c'est vraiment un gros problème?

Oui c'est une affaire énorme. Et en même temps, non, ce n'est vraiment pas le cas.

Google corrigera la manière dont Android met à jour les applications ou la manière dont elles sont signées. Dans ce jeu du chat et de la souris, ceci est un événement normal. Google publie des logiciels, les pirates (les bons comme les mauvais) essaient de l'exploiter et, lorsqu'ils le font, Google modifie le code. C’est ainsi que les logiciels fonctionnent, et il faut s’attendre à ce genre de chose quand il ya suffisamment de personnes intelligentes qui tentent de s’introduire.

D'autre part, le téléphone que vous avez maintenant peut ne jamais voir une mise à jour pour résoudre ce problème. Enfer, il a fallu presque un an à Samsung pour corriger le navigateur contre un exploit qui pourrait effacer toutes vos données utilisateur sur seulement certains de ses téléphones. Si vous avez un téléphone sur lequel vous attendez une mise à jour vers Android 4.3, vous recevrez probablement des correctifs. Sinon, c'est à deviner. C'est mauvais - très mauvais. Je ne cherche pas à critiquer les personnes qui fabriquent nos téléphones, mais la vérité est la vérité.

Que puis-je faire?

  • Ne téléchargez aucune application en dehors de Google Play.
  • Ne téléchargez aucune application en dehors de Google Play.
  • Ne téléchargez aucune application en dehors de Google Play.
  • En fait, désactivez l'autorisation Sources inconnues si vous le souhaitez. J'ai fait. Tout le reste te rend vulnérable. Certaines applications «anti-virus» vérifient si des sources inconnues sont activées en cas de doute. Rendez-vous sur les forums et découvrez lequel de tous les goûts est le meilleur si vous en avez besoin.
  • Exprimez votre mécontentement de ne pas recevoir les mises à jour de sécurité essentielles pour votre téléphone. Surtout si vous avez encore ce contrat de deux ans (ou de trois ans - bonjour le Canada!).
  • Raccrochez votre téléphone et installez une ROM qui a une sorte de solution - les plus populaires auront probablement très bientôt.

Alors ne paniquez pas. Mais soyez proactif et faites preuve de bon sens. Le moment est vraiment propice pour arrêter d’installer des applications fissurées, car les personnes responsables de la fissuration sont du même type que celles qui pourraient mettre du code malveillant dans l’application. Si vous recevez des notifications de mise à jour provenant d'un endroit autre que Google Play, parlez-en à quelqu'un. Dites- nous si vous en avez besoin. Identifiez les personnes qui essaient de transmettre ces exploits et donnez-leur une forte dose de honte et d'exposition. Les cafards détestent la lumière.

Cela se passera comme le font toujours les menaces de sécurité, mais un autre interviendra pour combler ses lacunes. C'est la nature de la bête. Restez en sécurité les gars.