Дългогодишната уязвимост засегна LG, Samsung и други производители, свързани с Android
Baked in Android е система, която се доверява на приложения, подписани със същия ключ, използван за удостоверяване на самата операционна система. Така че можете да видите какъв е проблемът тук. Лош актьор, контролиращ тези превключватели, може да накара Android да се „довери“ на приложения, натоварени със зловреден софтуер на системно ниво. Това е все едно да дадете на крадеца ключовете от къщата и колата си с вашето съгласие. Всички данни на уязвими устройства могат да бъдат изложени на риск. Някои от тези ключове се използват за подписване на обикновени приложения, инсталирани от Play Store или изтеглени от други витрини на приложения за Android.
Няма причина да заобикаляте тази уязвимост на сигурността.
Абдурахман туитва, че изтеклите ключове за подписване не могат да се използват за инсталиране на хакнати актуализации по въздуха. Той добавя, че системата Play Store Protect може да маркира приложения, подписани от изтекли ключове, като потенциално злонамерени.
Въпреки че не всички източници на изтеклите ключове все още са идентифицирани, компаниите, които са посочени, включват следното:
- samsung
- LG
- медиатех
- Szroco (компанията, която произвежда Onn дисковете на Walmart)
- revoview
Google казва, че е бил уведомен за уязвимостта през май тази година и че участващите компании са „взели коригиращи мерки за намаляване на въздействието върху потребителите“. Не точно знакът „всичко е ясно“, особено в светлината на новината, че APK Mirror наскоро се е натъкнал на някои уязвими ключове в регистъра в приложенията на Samsung за Android.
Говорител на Google каза: “OEM партньорите незабавно въведоха смекчаващи мерки веднага след като бяхме информирани за голямото нарушение. Крайните потребители ще бъдат защитени от потребителски смекчаващи мерки, прилагани от OEM партньори. Google внедри обширно откриване на злонамерен софтуер в Build Test Suite, който сканира системни изображения “Google Play Protect също открива зловреден софтуер. Няма индикация, че този зловреден софтуер съществува или някога е бил в Google Play Store. Както винаги, съветваме потребителите да се уверят, че използват най-новата версия на Android.”
Какво трябва да направите, за да ограничите излагането си
Google препоръчва на участващите компании да сменят ключовете за подписване, които се използват в момента, и да спрат да използват изтекли ключове. Той също така предлага всяка компания да започне разследване, за да разбере как са изтекли ключовете. Надяваме се, че това ще предотврати подобно нещо да се случи отново в бъдеще. Google също така препоръчва на компаниите да използват пеещи ключове за минималния брой приложения, за да намалят броя на потенциалните течове в бъдеще.
И така, какво можете да направите като собственик на потенциално засегнат телефон с Android? Уверете се, че вашето устройство работи с най-новата версия на Android и инсталирайте всички актуализации за защита веднага щом пристигнат. На кого му пука, ако тези актуализации не носят вълнуващи нови функции, защото тяхната работа е да гарантират, че вашето устройство няма да бъде компрометирано. И потребителите на Android трябва да се въздържат от странично зареждане на приложения. Това е, когато инсталирате приложение, получено от магазин за приложения на трета страна.