Stórt öryggisbrest hefur leitt til þess að búið er til „traust“ spilliforrit sem geta fengið aðgang að öllu stýrikerfinu Android. Tæki frá Samsung, LG og öðrum framleiðendum eru viðkvæm.
Eins og öryggissérfræðingur og verktaki benti á Lukasz Siewierski, öryggisframtak Google Android Partner Vulnerability Initiative (APVI) opinberlega opinberaði hún ný hetjudáð sem gerir tæki frá Samsung, LG, Xiaomi og öðrum framleiðendum viðkvæm. Mergurinn vandans er sá að þessir framleiðendur hafa lekið undirskriftarlyklana fyrir Android. Undirritunarlykillinn er notaður til að tryggja að útgáfan Androidu að keyra á tækinu þínu er lögmætt, búið til af framleiðanda. Sama takkann er einnig hægt að nota til að undirrita einstök forrit.
Android það er hannað til að treysta hvaða forriti sem er undirritað með sama lykli og notað er til að undirrita stýrikerfið sjálft. Tölvusnápur með þessa undirritunarlykla gæti notað „samnýtt notendaauðkenni“ kerfið Androidu til að veita fullum kerfisheimildum fyrir spilliforritið á viðkomandi tæki. Þetta myndi leyfa árásarmanni að fá aðgang að öllum gögnum á viðkomandi tæki.
Photo gallery
Þess má geta að þessi varnarleysi á sér ekki aðeins stað þegar nýtt eða óþekkt forrit er sett upp. Þar sem þessir lyklar leku AndroidÍ sumum tilfellum er einnig notuð undirskrift á algengum forritum, þar á meðal Bixby forritið í sumum símum Galaxy, árásarmaður gæti bætt spilliforriti við áreiðanlegt forrit, skrifað undir skaðlega útgáfuna með sama lykli og Android myndi treysta því sem "uppfærslu". Þessi aðferð myndi virka óháð því hvort appið kom upphaflega frá Google Play verslunum og Galaxy Geymið eða hefur verið hlaðið á hlið.
Samkvæmt Google er fyrsta skrefið til að laga vandamálið að viðkomandi fyrirtæki skipti út (eða „snýr“) sínu androidov undirritun lykla. Að auki hefur hugbúnaðarrisinn hvatt alla snjallsímaframleiðendur með kerfi sitt til að draga verulega úr tíðni lykla til að undirrita öpp.
Þú gætir haft áhuga á
Google segir að frá því að tilkynnt var um málið í maí á þessu ári hafi Samsung og öll önnur fyrirtæki sem verða fyrir áhrifum nú þegar „gripið til úrbóta til að lágmarka áhrif þessara stóru öryggisbrota á notendur“. Hins vegar er ekki alveg ljóst hvað þetta þýðir nákvæmlega, þar sem sumir af viðkvæmu lyklunum samkvæmt síðunni APKMirror síðustu daga notaði hann v androidSamsung forrit.
Google benti á að tækið með Androidem eru varin gegn þessum varnarleysi á nokkra vegu, þar á meðal Google Play Protect öryggiseiginleikann. Hann bætti við að misnotkunin hafi ekki náð í forrit sem dreift var í gegnum Google Play verslunina.
Svo viðkvæm að ekkert varð fyrir ki í lífi hennar. Þetta er bara kjaftæði.