Annonse
Android-sårbarheter fremkaller de samme følelsene som et massivt datainnbrudd Hva du trenger å vite om massiv LinkedIn-kontoer lekkasjeEn hacker selger 117 millioner hackede LinkedIn-opplysninger på Dark web for rundt 2200 dollar i Bitcoin. Kevin Shabazi, administrerende direktør og grunnlegger av LogMeOnce, hjelper oss å forstå akkurat hva som er i faresonen. Les mer : en helt vanlig forekomst som jeg kanskje er en del av. I det minste med et massivt datainnbrudd har jeg en mulighet til å kutte kontiene mine og cauterisere datasåret. Med den nyeste Android-feilen - QuadRoot - er dette ganske enkelt ikke et alternativ.
Dette er på ingen liten måte fordi sårbarheten ikke helt ligger hos Android. Nei, enheten din har potensielt blitt kompromittert av den amerikanske maskinvareproduksjonsgiganten Qualcomm, og deres anerkjente popularitet som det valgte alternativet for de mange Android-enhetene rundt om i verden verden.
Denne feilen er litt annerledes enn normen. Der Android-bugs vanligvis påvirker et enkelt eller lite antall produsenter som bruker et bestemt sett med maskinvare, anslås QuadRoot å påvirke rundt 900 millioner Android-brukere over hele verden. Det er du og jeg og alle du noen gang har vært glad i.
La oss se på hva QuadRoot er, hva det betyr for deg, og hva i all verden noen faktisk gjør for å fikse det.
QuadRoot er stor
Et par ting skiller QuadRoot fra andre Android-bugs vi har opplevd de siste årene. For nybegynnere, Sjekk punkt, sikkerhetsforskningsteamet som oppdaget feilen forklare det:
“QuadRooter er et sett med fire sårbarheter som påvirker Android-enheter bygget med Qualcomm-brikkesett. Qualcomm er verdens ledende designer av LTE-brikkesett med 65% andel av basebandmarkedet for LTE-modem. Hvis en av de fire sårbarhetene blir utnyttet, kan en angriper utløse privilegierøkaleringer med det formål å få rottilgang til en enhet. "
De viser de fire sikkerhetsproblemene som:
- CVE-2016-2503 oppdaget i Qualcomms GPU-driver og fikset i Googles sikkerhetsbulletin for Android for juli 2016.
- CVE-2016-2504 funnet i Qualcomm GPU-driveren og fikset i Googles Android Security Bulletin for august 2016.
- CVE-2016-2059 funnet i Qualcomm kjernemodul og fikset i april, selv om patch status ikke er kjent.
- CVE-2016-5340 presentert i Qualcomm GPU driver og fast, men patch status ukjent.
Er min enhet sårbar?
Ettersom Qualcomm er verdens ledende designer og produsent av LTE (Long Term Evolution) chipsett, kommanderende rundt 65% i markedet for LTE-basebåndmodem er det en betydelig sjanse for at enheten din blir utsatt. Du kan sjekke om enheten din er sårbar ved å bruke QuadRooter Scanner [No Longer Available], utviklet og publisert av Check Point (gutta som fant sårbarheten). Jeg har en OnePlus One De seks beste funksjonene i OnePlus One - og en ulempeJeg har bodd med OnePlus One i noen uker nå, og det er utrolig, men det er ikke perfekt. La oss løpe gjennom noen av de beste funksjonene - og en ulempe. Les mer :
Triste tider for meg.
@oneplus når forventer du at det blir gitt ut lapper for den alvorlige Quadroot-sårbarheten?
- Gazing Cyber (@gazingcyber) 8. august 2016
Kan jeg sannsynligvis bli utnyttet?
Check Point anbefaler at det er relativt enkelt å eksponere en enhet med et av disse sikkerhetsproblemene.
"En angriper kan utnytte disse sikkerhetsproblemene ved å bruke en ondsinnet app. En slik app krever ingen spesielle tillatelser for å dra nytte av disse sikkerhetsproblemene, og lindre mistanke brukere kan ha når de installerer. "
Dette er ikke en feil som er introdusert av en firmwareoppdatering. Sikkerhetsproblemet var til stede da enheten ble sendt. Feilen, som finnes i programvaredrivere som kontrollerer kommunikasjonen mellom brikkesettkomponenter, kan realistisk bare løses av enhetsprodusenten gjennom en OTA-oppdatering.
I motsetning til fjorårets Stagefright-bug Hvordan 95% av Android-telefoner kan hackes med en enkelt tekstEn ny Android-sårbarhet har sikkerhetsverdenen bekymret - og den etterlater smarttelefonen din ekstremt sårbar. StageFright-feilen lar skadelig kode sendes av MMS. Hva kan du gjøre med denne sikkerheten ... Les mer , Krever QuadRoot faktisk installasjon av en ondsinnet app, sannsynligvis etter aktiverer appinstallasjoner fra "Ukjente kilder." 10 beste Android-apper som ikke er i Play StorePlay Store er ikke slutten av alle Android-apper. Hvis du aldri har dristet deg utenfor det, går du virkelig glipp av det. Les mer I tillegg til dette, og som Google har påpekt i uttalelsen sin (som du kan lese i det følgende delen), er Android-funksjonen “Bekreft app” designet for å beskytte mot denne eksakte typen sårbarhet. Denne funksjonen kom med Android 4.2 Jelly Bean, og gitt det godt og vel 90% av alle Android-enheter kjører nå denne versjonen eller senere, og at denne feilen bare påvirker det nevnte brikkesettet - jeg tror alt vil være i orden.
Hva skjer nå?
Som et profesjonelt sikkerhetsforskningsfirma informerte Check Point Qualcomm om sårbarheten for måneder siden. Som sådan har de allerede produsert en brikkesettlapp som er blitt rullet ut til din produsent av enheten. Ballen ligger nå fast i banen deres.
Nesten alle telefonene fra de siste par årene er #Quadroot sårbart å gå med tall! @Google@GoogleIndia@ Mandy_017
- Srikanth Akula (@ srikie21) 9. august 2016
En rekke populære enhetsprodusenter har allerede tatt skritt for å berolige sin brukerbase. I ett tilfelle har fiksen allerede rullet ut. Her er noen av de største produsentene, og deres nåværende status.
Google har beveget seg raskt for å beskytte brukerne sine.
“Android-enheter med vårt siste sikkerhetsoppdateringsnivå er allerede beskyttet mot tre av disse fire sårbarhetene. Den fjerde sårbarheten, CVE-2016-5340, vil bli adressert i en kommende sikkerhetsbulletin for Android, selv om Android-partnere kan ta grep raskere ved å henvise til den offentlige oppdateringen Qualcomm har sørget for."
Som kjerneutviklerne bak Android var Google også opptatt av å fremheve de andre sikkerhetstiltakene som allerede var på plass for Android-enheter.
"Våre verifiseringsapper og SafetyNet-beskyttelse hjelper deg med å identifisere, blokkere og fjerne applikasjoner som utnytter sårbarheter som disse."
Populære enheter: Nexus 5X, Nexus 6, Nexus 6P
bjørnebær
Som jeg nevnte over, hadde en produsent allerede rullet løsningen til det brukere. Kudoer og roser heapes på håndsett produksjon stalwarts, Blackberry.
“Tre av de fire sårbarhetene er allerede fikset på PRIV-enheter med August Marshmallow-lappen og på alle DTEK50-enheter. I tillegg demper den sikre oppstartskjeden som er til stede i alle BlackBerry-enheter, det gjenværende problemet. Vi er ikke klar over noen utnyttelse av dette sikkerhetsproblemet i naturen, og vi tror ikke noen kunder for øyeblikket er utsatt for dette problemet. "
Populær enhet: Blackberry Priv
Sony
Sony jobber for å gjøre lappene tilgjengelige for Qualcomm-enhetene sine.
“Sony Mobile tar sikkerheten og personvernet til kundedata veldig alvorlig. Vi er klar over sårbarheten ‘QuadRooter’, og jobber for å gjøre sikkerhetsoppdateringene tilgjengelige på vanlig og vanlig måte programvarevedlikehold, både direkte til enheter som er åpne i markedet og via våre transportpartnere, slik at tidsplanene kan variere etter region og / eller operatør."
Populær enhet: Sony Xperia Z Ultra
Motorola
Motorola er en annen produsent som kan gi gode nyheter.
“Nylig ble et potensielt sikkerhetssårbarhet, Quadrooter oppdaget i visse Android-enheter. Dette potensielle sikkerhetsproblemet kan bare utnyttes hvis en bruker deaktiverer det innebygde Android-sikkerhetstiltaket og laster ned et skadelig program. Hvis du vil ha mer informasjon om hvordan du kan sikre at dette er deaktivert, denne koblingen er nyttig for forbrukerne.”
Populær enhet: Moto X
HTC
HTC har vært litt stille når det gjelder QuadRoot, med tanke på at minst to av enhetene deres er utsatt for risiko.
“HTC tar kundesikkerhet veldig alvorlig. Vi er klar over disse rapportene og undersøker dem. ”
Populære enheter: HTC 10, HTC One M9
OnePlus
OnePlus har lagt beredskapsplaner for å inkludere QuadRoot-oppdateringen i sin neste oppdatering.
“Sikkerhet er en topp prioritet for OnePlus. De relevante sikkerhetsoppdateringene vil bli inkludert i de neste OTA-er (Over The Air-oppdateringer) for alle OnePlus-enheter. "
Samsung
Det har ikke kommet noen offisiell uttalelse fra Samsung ennå.
Populære enheter: Galaxy S7, Galaxy S7 Edge
LG
Igjen har det ikke kommet noen offisiell uttalelse fra LG ennå.
Populære enheter: LG G5, LG G4, LG V10
På tide å bekymre seg?
Som med de fleste sikkerhetsproblemer, må du være på vakt. Disse sårbarhetene eksisterer, men med mindre du laster ned en app med den tilhørende ondsinnede koden, er det lite sannsynlig at enheten din blir skadet.
Google Play Store inneholder mange millioner applikasjoner; appen som inneholder ondsinnet kode Hvordan Android Porn Malware stjeler dataene dineOndsinnet pornoklikker-trojanere maskeres som dupliserte apper, og venter på å infisere Android-enheten din. Hvor utbredte er de? Hva skjer hvis du laster ned en, og viktigst av alt, hvordan kan du unngå dem? Les mer designet for å utnytte disse spesielle feilene kan være hvem som helst av dem Piratkopiering på Android: Hvor ille er det egentlig?Android er beryktet for sin florerende piratkopiering, så vi undersøker nøyaktig hvor ille det er. Les mer . Som sådan, vær våken. Sjekk tilbakemelding. Kryssjekk utvikler- og utgiverinformasjon. Se på nedlastningstall. Vurder vanlige svindel. Ikke last ned latterlige apper som tilbyr å gjøre telefonen din til noe den ikke er.
Du bør klare å unngå eventuelle malefaktorer før enhetsprodusenten slipper oppdateringene til ta sikkerheten din opp på grunn 6 Android-sikkerhetsapper du bør installere i dagAndroid-sikkerhetsapper - som er i stand til å blokkere skadelig programvare og phishing-forsøk - er nødvendige hvis du ønsker å kjøre en trygg og sikker smarttelefon. La oss se på noen av de beste Android-sikkerhetsappene for øyeblikket ... Les mer . Imidlertid fremhever denne siste feilen nok en gang de iboende risikoene som er tilstede i Android-sikkerhetsmodellen. I motsetning til Apple, som ganske enkelt kan utvikle en oppdatering og utrulling til hundrevis av millioner brukere, er det viktig med Android-sikkerhet lapper må passere gjennom hele leverandørkjeden til hver produsent før de når brukerne de er designet til hjelp.
Jeg elsker Android, og vil absolutt fortsette å bruke den, men som bruker må du være på vakt.
Bekymret for QuadRoot? Gjør antall Android-sårbarheter at du vurderer plattformen på nytt? Gi oss beskjed om tankene dine nedenfor!
Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskriving med digital kunstpraksis piller fra åsene i Devon, i tillegg til over et tiår med profesjonell skrivingerfaring. Han liker store mengder te.