Kötü amaçlı dosyalar bir kez daha Android Market'e girmeye başladı, bir dizi uygulama kaçırıldı, kötü amaçlı kod enjekte edilmiş olarak ters mühendislik uygulandı ve meşru uygulamalarla birlikte yayınlandı.
İki şeyin öne çıkması gerekiyor - Google, uygulamaları Market'ten zaten kaldırmış ve bu kez etraflarında yalnızca Çin menşeli kullanıcıları etkiledi. Bu hikayeyi okuyorsanız, muhtemelen güvendesiniz ve asla risk altında değilsiniz. Ancak bu hala büyük bir endişe. Bir dizi kötü adam (iş için güvenli sürümüm), yasal bir geliştiriciden uygulamaları derleyebildi, Çinli bir abonelik servisine SMS mesajları gönderen bazı kodlar koydular ve sonrasında bazı ustaca adımlar attılar. kullanıcıdan gizlenmiş her şey. Bu olacak, çünkü yeterince elektronik ve popüler olan her şey bir hedef. İlgili kısım, bunların Android Market'e girmelerini sağlamak.
Aradan sonra sizinle ilgili birkaç yüz kelime söylememe izin verin.
Kaynak: Sophos yoluyla AegisLabs; Teşekkürler Tony Bag o 'Donuts!
Ben ayrılıyorum. Bir kullanıcı olarak ve kişisel düzeyde her şeyi açık bırakıyorum ve kullanıcıları özenli olmaya zorluyorum ve nereden geldiklerine bakılmaksızın yalnızca güvendikleri uygulamaları kurmaya zorluyorum. İzinlerin ne olduğunu ve bir uygulamanın neden onlara ihtiyaç duyabileceği veya ihtiyaç duymayabileceğini (örneğin Adobe Reader) öğrenin. Ancak bir blog yazarı ve (umarım) Android otoritesine saygı duyduğum için, okurlarımız için onlar için en iyisini isteme sorumluluğum var. Bu sizsiniz Birçoğunuz, Android yetkililerine kendi haklarınızla saygı duyuyorsunuz ve neyin güvenli olup neyin olmadığı konusunda hiçbir sıkıntınız yok. Diğerleri, nasıl güvenli kalacağınıza dair iyi tavsiyeler sunmak için Android Central ve diğer İnternet kaynaklarına bağlı değildir ve buna bağlıdır. Bu beni biraz zor durumda bırakıyor.
Bununla ilgili çeşitli güvenlik yayınlarını okurken, Sophos'taki Vanja Svajcer'den gerçekten ilginç bir fikir gördüm. Onun fikri basit ve uygulaması kolaydır - ihtiyacımız olan iki set imza anahtarı. SMS mesajı göndermek veya kişi listenizle oynamak gibi şeyler yapmak isteyen ya da yapmak isteyen uygulamalar, Google tarafından onaylanmış meşru bir geliştirici hesabına bağlı bir dizi doğrulanmış anahtar kullanmalıdır. Osuruk uygulamaları ve temaları, kullanıcı tarafından oluşturulan anahtarları kullanmaya devam etsin - hobi geliştiricilerini, potansiyel bir güvenlik sorunu yaratacak bir şey yapmayacaklarsa, Mountain View'daki insanlar için herhangi bir çembere atlamaya zorlamayın. Ancak bir uygulama telefon rehberinize erişmek veya GMail authToken'nuzu kullanmak istediğinde, imza anahtarını kontrol edin ve doğrulayın. Kullanıcıları güvende tutun, mutlu olacaklar. Mutlu kullanıcılar daha fazla uygulama ve daha fazla Android ürünü satın alır. Roket bilimi öyle değil. Vanja, bununla tamamen çivilenerek çiviyi vurdu - siz ne diyorsunuz, Google?
Anyhoo, bu bitti ve bitti. Merak ediyorsanız, etkilenen uygulamaların bir listesi. Hepsinin derhal Piyasadan kaldırıldığını ve yalnızca Çince yerel ayar ve telefon numarası olan kullanıcıları etkilediğini unutmayın.
- ben kitap
- iCartoon
- lovebaby
- 3D Küp korku korkunç
- Deniz topu
- iCalendar
- IMatch
- Arayı salla
- ShakeBanger
- imin
- iGuide
Bazı şeylere göz kulak olacağız ve bir dahaki sefere ne zaman size haber vereceğiz. Ve bir dahaki sefere olacak - Handcent gibi kick-ass uygulamalarına sahip olmanın getirdiği takas, aynı fonksiyonları ve bizim yapmadıklarımız için açıklığı kullanan uygulamalara sahip olmak. Bu noktada iki şey önereceğim:
- Bir "virüs" tarayıcı kullanın. Evet, Android için virüs olmadığını biliyorum, ancak adlar sıkışıp kalıyor. Şimdiye kadarki tüm güvenlik sorunları, son kullanıcının bunları kurmak istemesini gerektirdi. Sadece telefonunuzu kullanarak hiçbir şeyden etkilenmezsiniz. Piyasada seçim yapabileceğiniz birkaç tane var. Hepsi işe yarıyor, bu yüzden her birinin özelliklerini kontrol edin ve bir seçim yapın. O zaman bizim için kirli işleri yapmalarına sahip olduğumuz için mutlu olun.
- Olmaması gereken uygulamaları yüklemeyin. Evet, cazip ve Sideload Wonder Machine ile oldukça kolay hale getirdik (ama benim niyetim bu değildi!). Güvenlik blogcuları sadece sizi bu konuda uyardıklarında sigara içmiyorlar. Yetenekliysen, korsan uygulama forumlarından birine gir ve bir avuç indir, sonra onları tersine çevir ve resmi sürümlerle karşılaştır. Yetenekli değilsen bize güven. Bunların yaklaşık yarısı kodda bazı ciddi farklılıklar var. Güvendiğiniz uygulamaları ile sopa. Ya da Markete sadık olun - bir trojanla takılırsanız Google sizi düzeltecektir. Yalnızca geliştiriciler, sıkı çalışmaları için istedikleri az parayı hak etmekle kalmaz, sonunda daha güvende olursunuz.
