Des fichiers malveillants ont de nouveau trouvé leur place sur l'Android Market, avec un ensemble d'applications détournées, d'ingénierie inverse avec du code malveillant injecté et publiées avec les applications légitimes.
Deux choses doivent être mentionnées à l'avance: Google a déjà supprimé les applications du marché et cette fois-ci, elles ne concernaient que les utilisateurs en Chine, d'où elles proviennent également. Si vous lisez cette histoire, vous êtes probablement en sécurité et n'avez jamais été en danger. Mais cela reste une grande préoccupation. Un ensemble de méchants (c'est ma version sûre pour le travail) a été en mesure de décompiler les applications d'un développeur légitime, de mettre du code qui envoie des messages SMS à un service d'abonnement chinois, puis de prendre des mesures vraiment ingénieuses pour les conserver. tout ce qui est caché à l'utilisateur. Cela va se produire, car tout ce qui est assez électronique et populaire est une cible. Ce qui est préoccupant, c’est qu’ils se frayent un chemin dans l’Android Market.
Permettez-moi d’avoir quelques centaines de mots avec vous à ce sujet, après la pause.
Source: AegisLabs via Sophos; Merci, Tony Bag o 'Donuts!
Je suis déchiré. En tant qu'utilisateur et à titre personnel, je dis de tout laisser ouvert et de forcer les utilisateurs à faire preuve de diligence et à installer uniquement les applications auxquelles ils font confiance, quelle que soit leur origine. Découvrez quelles sont les autorisations et pourquoi une application peut en avoir besoin (par exemple, Adobe Reader). Mais en tant que blogueur et (espérons-le) respecté des autorités Android, j'ai la responsabilité envers nos lecteurs de vouloir ce qu'il y a de mieux pour eux. C'est vous les gars. Beaucoup d'entre vous sont des autorités Android respectées et n'ont aucun problème à discerner ce qui est sûr ou non. Beaucoup d’autres ne le font pas et dépendent d’Android Central ou d’autres ressources Internet pour donner de bons conseils sur la sécurité. Cela me laisse un peu dans le pétrin.
En lisant les différentes publications de sécurité sur celle-ci, je suis tombé sur une idée vraiment intéressante de Vanja Svajcer chez Sophos. Son idée est simple et facile à mettre en œuvre - nous avons besoin de deux jeux de clés de signature. Les applications souhaitant ou devant effectuer des tâches telles que l'envoi de messages SMS ou l'utilisation de votre liste de contacts doivent utiliser un ensemble de clés vérifiées liées à un compte de développeur légitime approuvé par Google. Laissez les applications et les thèmes de péter continuer à utiliser les clés générées par l'utilisateur - n'obligez pas les développeurs passionnés à passer au travers des paniers pour les employés de Mountain View s'ils ne font rien qui pourrait créer un problème de sécurité potentiel. Mais au moment où une application souhaite accéder à votre répertoire téléphonique ou utiliser votre autorisation de messagerie GMail, vérifiez la clé de signature, puis vérifiez-la. Gardez les utilisateurs en sécurité et ils resteront heureux. Les utilisateurs satisfaits achètent plus d'applications et plus de produits Android. La science de fusée ce n'est pas. Vanja a mis le doigt sur la tête avec celle-ci - qu'en est-il de Google?
Anyhoo, celui-ci est fini et fait. Si vous êtes curieux, voici une liste des applications concernées. Prenez note du fait qu’ils ont tous été rapidement retirés du marché et que seuls les utilisateurs avec des paramètres régionaux et un numéro de téléphone chinois ont été affectés.
- iBook
- iCartoon
- LoveBaby
- Horreur cube 3d terrible
- Ballon de mer
- iCalendar
- iMatch
- Secouer la pause
- ShakeBanger
- iMine
- iGuide
Nous garderons un œil sur les choses et vous tiendrons au courant la prochaine fois que cela se produira. Et il y aura une prochaine fois - le compromis pour pouvoir avoir des applications aussi géniales que Handcent est d'avoir des applications qui utilisent les mêmes fonctions et qui ont la même ouverture pour des choses que nous préférerions ne pas avoir. À ce stade, je vais devoir suggérer deux choses:
- Utilisez un scanner "virus". Oui, je sais qu'il n'y a pas de virus pour Android, mais les noms restent bloqués. Jusqu'à présent, tous les problèmes de sécurité ont obligé l'utilisateur final à vouloir les installer. Vous ne serez infecté par rien en utilisant simplement votre téléphone. Il en existe plusieurs sur le marché. Ils fonctionnent tous, alors vérifiez les caractéristiques de chacun et faites votre choix. Alors soyez heureux que nous les fassions faire le sale boulot pour nous.
- N'installez aucune application que vous ne devriez pas être. Oui, c'est tentant et nous avons rendu la tâche assez facile avec la machine à chargement latéral Wonder Machine (mais ce n'était pas mon intention!). Les blogueurs de la sécurité ne font pas que fumer de la fumée quand ils vous en avertissent. Si vous en êtes capable, rendez-vous sur l'un de ces forums d'applications pirate et téléchargez-en une poignée, puis faites-en l'ingénierie inverse et comparez-les aux versions officielles. Si vous n'êtes pas capable, faites-nous confiance. Environ la moitié d'entre eux ont de graves différences dans le code. Restez fidèle aux applications en lesquelles vous avez confiance. Ou restez sur le marché - si vous êtes coincé avec un cheval de Troie, Google vous arrangera. Non seulement les développeurs méritent les quelques dollars qu’ils demandent pour leur travail acharné, mais vous serez plus en sécurité à la fin.