Ang isang malaking paglabag sa seguridad ay humantong sa paglikha ng "pinagkakatiwalaang" mga application ng malware na maaaring makakuha ng access sa buong operating system Android. Ang mga device mula sa Samsung, LG at iba pang mga tagagawa ay mahina.
Gaya ng itinuro ng isang security expert at developer Lukasz Siewierski, inisyatiba sa seguridad ng Google Android Pampublikong Inisyatibo sa Vulnerability Initiative (APVI). kanyang isiniwalat isang bagong pagsasamantala na ginagawang mahina ang mga device mula sa Samsung, LG, Xiaomi at iba pang mga manufacturer. Ang pinakabuod ng problema ay ang mga tagagawang ito ay nag-leak ng kanilang mga signing key para sa Android. Ang signing key ay ginagamit upang matiyak na ang bersyon Androidlehitimo ang iyong tumatakbo sa iyong device, na ginawa ng manufacturer. Ang parehong key ay maaari ding gamitin upang mag-sign ng mga indibidwal na aplikasyon.
Android ito ay idinisenyo upang magtiwala sa anumang application na nilagdaan gamit ang parehong key na ginamit upang lagdaan ang operating system mismo. Ang isang hacker na may mga application signing key na ito ay maaaring gumamit ng "shared user ID" system Androidu na magbigay ng buong system-level na mga pahintulot sa malware sa apektadong device. Papayagan nito ang isang umaatake na ma-access ang lahat ng data sa apektadong device.
Photo Gallery
Ito ay nagkakahalaga na tandaan na ang kahinaan na ito ay hindi lamang nangyayari kapag nag-i-install ng bago o hindi kilalang application. Dahil ang mga leaked key na ito AndroidSa ilang mga kaso, ginagamit din ang pag-sign ng mga karaniwang application, kabilang ang Bixby application sa ilang mga telepono Galaxy, maaaring magdagdag ng malware ang isang umaatake sa isang pinagkakatiwalaang application, lagdaan ang nakakahamak na bersyon gamit ang parehong key, at Android magtitiwala ito bilang isang "update". Gagana ang paraang ito kahit na ang app ay orihinal na nagmula sa mga Google Play store at Galaxy Mag-imbak o na-sideload.
Ayon sa Google, ang unang hakbang sa pag-aayos ng problema ay para sa apektadong kumpanya na palitan (o "i-"turn") sa kanila androidov signing keys. Bilang karagdagan, hinikayat ng higanteng software ang lahat ng mga tagagawa ng smartphone kasama ang system nito na lubos na bawasan ang dalas ng paggamit ng mga key para mag-sign ng mga app.
Maaari kang maging interesado sa
Sinabi ng Google na mula noong naiulat ang isyu noong Mayo ng taong ito, ang Samsung at lahat ng iba pang apektadong kumpanya ay "nagsagawa na ng mga hakbang sa pagwawasto upang mabawasan ang epekto ng mga pangunahing paglabag sa seguridad na ito sa mga user." Gayunpaman, hindi lubos na malinaw kung ano ang eksaktong ibig sabihin nito, dahil ang ilan sa mga masusugatan na key ayon sa site APKMirror nitong mga nakaraang araw ay ginamit niya ang v androidMga aplikasyon ng Samsung.
Nabanggit ng Google na ang device na may AndroidPinoprotektahan sila laban sa kahinaang ito sa maraming paraan, kabilang ang tampok na panseguridad ng Google Play Protect. Idinagdag niya na ang pagsasamantala ay hindi umabot sa mga app na ipinamahagi sa pamamagitan ng Google Play store.
Sobrang vulnerable na walang nangyari kay ki sa buhay niya. Ito ay kalokohan lamang.