A rosszindulatú fájlok ismét megtalálják az utat az Android Marketbe, ahol egy sor alkalmazást eltérítenek, visszafejlesztik és a rosszindulatú kódot befecskendezik, és a legitim alkalmazásokkal együtt közzéteszik.
Két dolgot meg kell említeni előre - a Google már eltávolította az alkalmazásokat a piacról, és ezúttal csak a kínai felhasználókat érintik, ahonnan szintén származnak. Ha ezt a történetet olvassa, akkor valószínűleg biztonságban vagy, és soha nem voltál veszélyben. De ez továbbra is komoly aggodalomra ad okot. Egy sor rosszfiú (ez az én biztonságos verzióm) képesek voltak lefordítani alkalmazásokat egy legit fejlesztőtől, beilleszteni egy kódot, amely SMS üzeneteket küld egy kínai előfizetési szolgáltatásra, majd megtett néhány igazán ötletes lépést a mindent elrejtve a felhasználótól. Ez meg fog történni, mert minden, ami elektronikus és elég népszerű, a cél. Ami aggódik az az, hogy ezek úton vannak az Android Marketbe.
Hadd hagyjak pár száz szót veled a szünet után.
Forrás: AegisLabs a Sophos-on keresztül; Köszönöm, Tony Bag o Donuts!
Én vagyok szakadt. Felhasználóként és személyes szinten mondom, hogy mindent nyitva hagy, és arra kényszeríti a felhasználókat, hogy szorgalmasak legyenek, és csak az általuk megbízott alkalmazásokat telepítsék, függetlenül attól, ahonnan származnak. Tudja meg, mi az engedélyek, és miért lehet, hogy egy alkalmazásnak szüksége van rájuk (az Adobe Reader). Bloggerként és (remélhetőleg) tiszteletben tartva az Android hatóságát, azért felelõs vagyok az olvasóink előtt, hogy azt akarom, ami a legmegfelelőbb számukra. Te srácok vagytok. Sokan tiszteletben tartják az Android hatóságokat a saját jogán, és nincs problémauk annak megállapításával, hogy mi biztonságos és mi nem. Sokan nem, és az Android Centraltól és más internetes forrásoktól függnek, hogy jó tanácsokat adnak a biztonság megőrzéséhez. Ez enyhe savanyúságot hagy maga után.
Az erről szóló különféle biztonsági kiadványok olvasása közben egy igazán érdekes ötlettel találkoztam Vanja Svajcer-től a Sophos-nál. Ötlete egyszerű és könnyen megvalósítható - két aláírási kulcs készletre van szükségünk. Azoknak az alkalmazásoknak, amelyek olyan tevékenységeket akarnak vagy szükségesek, mint például SMS-üzenetek küldése vagy a névjegyzékkel való játék, a Google által jóváhagyott legitim fejlesztői fiókhoz kötött ellenőrzött kulcskészletet kell használniuk. Hagyja, hogy a fing alkalmazások és témák továbbra is a felhasználó által generált kulcsokat használják - ne erőltesse a hobbi fejlesztőit, hogy átugrani a Mountain View embereinek minden karikáját, ha nem tesznek olyan tevékenységet, amely potenciális biztonsági problémát okozhat. De abban a pillanatban, amikor egy alkalmazás hozzáférni szeretne a telefonkönyvhöz, vagy használni szeretné a GMail authToken fájlt, ellenőrizze az aláírási kulcsot és ellenőrizze azt. Tartsa biztonságban a felhasználókat, és boldogok maradnak. A boldog felhasználók további alkalmazásokat és további Android-termékeket vásárolnak. A rakétatudomány nem igaz. Vanja ezzel egyenesen a fejére csapta a szöget - mit mondtok, Google?
Anyhoo, ennek vége és vége. Ha kíváncsi, itt található az érintett alkalmazások listája. Ne felejtse el, hogy mindegyiket azonnal eltávolították a piacról, és csak a kínai nyelv és telefonszámmal rendelkező felhasználókat érintette.
- iBook
- iCartoon
- Szerelem baba
- 3D Cube horror borzalmas
- Tengeri labda
- iCalendar
- iMatch
- Rázza szünet
- ShakeBanger
- iminosók
- iGuide
Figyelemmel kísérjük a dolgokat, és legközelebb értesítjük. És lesz egy következő alkalom - a kompromisszum azért, hogy olyan kick-ass alkalmazásokat lehessen létrehozni, mint például a Handcent, olyan alkalmazásokkal rendelkezik, amelyek ugyanazokat a funkciókat és nyitottságot használják a dolgokhoz, amelyeket inkább nem. Ezen a ponton két dolgot kell javasolnom:
- Használjon "vírus" szkennert. Igen, tudom, hogy az Android nem tartalmaz vírusokat, de a nevek elakadnak. Az eddigi összes biztonsági probléma megköveteli a végfelhasználótól, hogy telepítse. Semmivel nem fertőzhet meg csak a telefon használatával. A piacon több közül lehet választani. Mindegyik működik, tehát ellenőrizze mindegyik tulajdonságait, és válassza ki a választást. Akkor örülj, hogy velük elvégezzük a piszkos munkát.
- Ne telepítsen olyan alkalmazásokat, amelyeknek nem kellene lennie. Igen, csábító és megkönnyítettük a Sideload Wonder Machine használatával (de ez nem volt a szándékom!). A biztonsági bloggerek nem csak füstöt fújnak, amikor erről figyelmeztetnek. Ha képes, keresse meg a kalóz alkalmazások egyik fórumát, és töltsön le egy maréknyi, majd fordítsa meg őket, és hasonlítsa össze a hivatalos verziókkal. Ha nem vagy képes, bízz bennünk. Körülbelül felük komoly különbségeket mutat a kódban. Ragaszkodjon a megbízható alkalmazásokhoz. Vagy ragaszkodj a piachoz - ha elakad a trójai miatt, a Google megjavít téged. A fejlesztők nemcsak megérdemlik a néhány dollárt, amit kemény munkáért igényelnek, hanem végül is biztonságosabb lesz.
