Schadelijke bestanden hebben opnieuw hun weg gevonden naar de Android Market, waarbij een reeks toepassingen is gekaapt, reverse-engineering met geïnjecteerde kwaadaardige code en naast de legitieme toepassingen is gepubliceerd.
Twee dingen moeten vooraf worden vermeld - Google heeft de apps al van de markt verwijderd en deze keer hadden ze alleen invloed op gebruikers in China, waar ze ook vandaan komen. Als u dit verhaal leest, bent u waarschijnlijk veilig en bent u nooit in gevaar geweest. Maar dit is nog steeds een grote zorg. Een aantal slechteriken (dat is mijn veilige versie) kon apps van een legitieme ontwikkelaar decompileren, een code invoeren die sms-berichten naar een Chinese abonnementsdienst stuurt en vervolgens een aantal echt ingenieuze stappen zetten om alles verborgen voor de gebruiker. Dat gaat gebeuren, want alles wat elektronisch en populair genoeg is, is een doelwit. Het deel dat van belang is, is dat deze hun weg vinden naar de Android Market.
Sta me toe er een paar honderd woorden over te hebben, na de pauze.
Bron: AegisLabs via Sophos; Bedankt, Tony Bag o 'Donuts!
Ik ben verscheurd. Als gebruiker en op persoonlijk niveau zeg ik: laat alles open en dwing gebruikers om ijverig te zijn en alleen apps te installeren die ze vertrouwen, ongeacht waar ze vandaan komen. Ontdek wat de machtigingen zijn en waarom een app deze al dan niet nodig heeft (bijvoorbeeld Adobe Reader). Maar als blogger en (hopelijk) gerespecteerde Android-autoriteit, heb ik een verantwoordelijkheid tegenover onze lezers om te willen wat het beste voor hen is. Dat zijn jullie. Velen van jullie zijn zelf gerespecteerde Android-autoriteiten en hebben geen probleem om te achterhalen wat veilig is en wat niet. Vele anderen zijn dat niet en zijn afhankelijk van Android Central en andere internetbronnen om goed advies te geven over hoe ze veilig kunnen blijven. Dit laat me een beetje in het zuur achter.
Toen ik de verschillende beveiligingspublicaties hierover las, kwam ik een heel interessant idee van Vanja Svajcer bij Sophos tegen. Zijn idee is eenvoudig en gemakkelijk te implementeren - we hebben twee sets handtekeningsleutels nodig. Toepassingen die dingen willen of moeten doen, zoals sms-berichten verzenden of spelen met uw contactenlijst, moeten een set geverifieerde sleutels gebruiken die zijn gekoppeld aan een legitiem ontwikkelaarsaccount dat is goedgekeurd door Google. Laat de scheet-apps en -thema's door gebruikers gegenereerde sleutels blijven gebruiken - dwing hobbyontwikkelaars niet om door hoepels voor de mensen bij Mountain View te springen als ze niets gaan doen dat een potentieel beveiligingsprobleem zou kunnen veroorzaken. Maar op het moment dat een app toegang wil hebben tot uw telefoonboek of uw GMail authToken wilt gebruiken, controleert u de handtekeningsleutel en verifieert u deze. Houd de gebruikers veilig en ze zullen gelukkig blijven. Tevreden gebruikers kopen meer apps en meer Android-producten. Rocket science is het niet. Vanja sloeg de spijker recht op de kop met deze - wat zeg je, Google?
Hoe dan ook, deze is voorbij en klaar. Als je nieuwsgierig bent, is hier een lijst met de betreffende toepassingen. Houd er rekening mee dat ze allemaal snel van de markt zijn verwijderd en alleen gebruikers met een Chinese landinstelling en een telefoonnummer troffen.
- ik reserveer
- iCartoon
- Liefdes baby
- 3D Cube horror verschrikkelijk
- Sea Ball
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- ik mijn
- iGuide
We houden de zaken in de gaten en laten u weten wanneer het weer gebeurt. En er komt een volgende keer - de afweging voor het hebben van kick-ass apps zoals Handcent is het hebben van apps die dezelfde functies en openheid gebruiken voor dingen die we liever niet hadden. Op dit punt moet ik twee dingen voorstellen:
- Gebruik een "virusscanner". Ja, ik weet dat er geen virussen zijn voor Android, maar namen lopen vast. Voor alle beveiligingsproblemen tot nu toe moest de eindgebruiker ze willen installeren. U wordt nergens door besmet met uw telefoon. Er zijn er verschillende op de markt om uit te kiezen. Ze werken allemaal, dus controleer de functies van elk en maak een keuze. Wees dan blij dat we ze hebben om het vuile werk voor ons te doen.
- Installeer geen apps die u niet zou moeten zijn. Ja, het is verleidelijk en we hebben het vrij eenvoudig gemaakt met de Sideload Wonder Machine (maar dat was niet mijn bedoeling!). Beveiligingsbloggers blazen niet alleen rook wanneer ze u hiervoor waarschuwen. Als je in staat bent, ga dan naar een van die fora van de piraten-app en download een handvol, stel ze vervolgens in reverse-engineering en vergelijk ze met de officiële versies. Als u niet in staat bent, vertrouw ons dan gewoon. Ongeveer de helft van hen heeft enkele ernstige verschillen in de code. Blijf bij apps die u vertrouwt. Of blijf bij de markt - als je vastloopt met een trojan, maakt Google je op. Niet alleen verdienen de ontwikkelaars de paar dollar die ze vragen voor hun harde werk, u zult uiteindelijk veiliger zijn.
