'n Groot sekuriteitsbreuk het gelei tot die skepping van "betroubare" malware-toepassings wat toegang tot die hele bedryfstelsel kan kry Android. Toestelle van Samsung, LG en ander vervaardigers is kwesbaar.
Soos uitgewys deur 'n sekuriteitskenner en ontwikkelaar Lukasz Siewierski, Google se sekuriteitsinisiatief Android Partner Vulnerability Initiative (APVI) in die openbaar het sy verklap 'n nuwe uitbuiting wat toestelle van Samsung, LG, Xiaomi en ander vervaardigers kwesbaar maak. Die kern van die probleem is dat hierdie vervaardigers hul ondertekeningsleutels vir uitgelek het Android. Die ondertekening sleutel word gebruik om te verseker dat die weergawe Androidu wat op u toestel loop, is wettig, geskep deur die vervaardiger. Dieselfde sleutel kan ook gebruik word om individuele aansoeke te onderteken.
Android dit is ontwerp om enige toepassing te vertrou wat onderteken is met dieselfde sleutel wat gebruik word om die bedryfstelsel self te onderteken. 'n Hacker met hierdie sleutels wat die toepassing onderteken, kan die "gedeelde gebruiker-ID"-stelsel gebruik Androidu om volle stelselvlaktoestemmings aan die wanware op die geaffekteerde toestel te gee. Dit sal 'n aanvaller toelaat om toegang tot al die data op die geaffekteerde toestel te kry.
foto Gallery
Dit is opmerklik dat hierdie kwesbaarheid nie net voorkom wanneer 'n nuwe of onbekende toepassing geïnstalleer word nie. Aangesien hierdie sleutels uitgelek het AndroidIn sommige gevalle word die ondertekening van algemene toepassings ook gebruik, insluitend die Bixby-toepassing op sommige fone Galaxy, kan 'n aanvaller wanware by 'n vertroude toepassing voeg, die kwaadwillige weergawe met dieselfde sleutel onderteken, en Android sal dit vertrou as 'n "opdatering". Hierdie metode sal werk ongeag of die toepassing oorspronklik van die Google Play-winkels en Galaxy Berg of is gelaai.
Volgens Google is die eerste stap om die probleem reg te stel dat die betrokke maatskappy hulle s'n vervang (of "draai") androidov sleutels onderteken. Boonop het die sagtewarereus alle slimfoonvervaardigers met sy stelsel aangemoedig om die frekwensie van die gebruik van sleutels om toepassings te teken drasties te verminder.
Jy kan belangstel in
Google sê sedert die kwessie in Mei vanjaar aangemeld is, het Samsung en alle ander geaffekteerde maatskappye reeds "regstellende maatreëls getref om die impak van hierdie groot sekuriteitsoortredings op gebruikers te verminder." Dit is egter nie heeltemal duidelik wat dit presies beteken nie, aangesien sommige van die kwesbare sleutels volgens die webwerf APKMirror in die laaste paar dae het hy v androidSamsung toepassings.
Google het opgemerk dat die toestel met Androidhulle word op verskeie maniere teen hierdie kwesbaarheid beskerm, insluitend die Google Play Beskerming-sekuriteitskenmerk. Hy het bygevoeg dat die uitbuiting dit nie gemaak het na toepassings wat deur die Google Play-winkel versprei is nie.
So kwesbaar dat niks in haar lewe met ki gebeur het nie. Dit is net snert.