Android sårbarheder fremkalder de samme følelser som en massiv data brud Hvad du skal vide om de massive LinkedIn-konti Læk hvad du behøver at vide om de massive LinkedIn-konti Læk En hacker sælger 117 millioner hackede LinkedIn-legitimationsoplysninger på Dark web for omkring $ 2.200 i Bitcoin. Kevin Shabazi, CEO og grundlægger af LogMeOnce, hjælper os med at forstå, hvad der er i fare. Læs mere: En alt til almindelig begivenhed, som jeg måske kan finde mig selv til. I hvert fald med en massiv data brud har jeg mulighed for at afskære mine konti og cauterize data-såret. Med den nyeste Android bug - QuadRoot - dette er simpelthen ikke en mulighed.
Dette skyldes ikke, at sårbarheden ikke helt ligger hos Android. Nej, din enhed er muligvis blevet kompromitteret af den amerikanske hardwareproducerende kæmpe Qualcomm, og deres anerkendte popularitet som det valgte kraftværk til de utallige Android-enheder rundt omkring i verden.
Denne fejl er lidt anderledes end normen. Hvor Android-fejl normalt påvirker et enkelt eller et lille antal producenter, der bruger et bestemt sæt hardware, vurderes QuadRoot at påvirke ca. 900 millioner Android-brugere over hele kloden. Det er du, og jeg, og alle, du nogensinde har elsket.
Lad os se på, hvad QuadRoot er, hvad det betyder for dig, og bare hvad i verden er der nogen der rent faktisk gør for at rette op på det.
QuadRoot er stor
Et par ting sætter QuadRoot bortset fra andre Android-fejl, vi har stødt på i løbet af de sidste par år. For det første forklarede Check Point, sikkerhedsforskningsholdet, der opdagede fejlen, at:
"QuadRooter er et sæt af fire sårbarheder, der påvirker Android-enheder, der er bygget ved hjælp af Qualcomm-chipsæt. Qualcomm er verdens førende designer af LTE-chipsæt med en 65% andel af LTE modembasebandmarkedet. Hvis en af de fire sårbarheder udnyttes, kan en angriber udløse privilegerede eskaleringer med det formål at opnå rootadgang til en enhed. "
De beskriver de fire sikkerhedsproblemer som:
- CVE-2016-2503 opdaget i Qualcomms GPU-driver og fikseres i Googles Android Security Bulletin for juli 2016.
- CVE-2016-2504 fundet i Qualcomm GPU driver og fikseres i Googles Android Security Bulletin for august 2016.
- CVE-2016-2059 fundet i Qualcomm-kernemodulet og fikseret i april, selvom patchstatus ikke er kendt.
- CVE-2016-5340 præsenteret i Qualcomm GPU driver og fast, men patch status ukendt.
Er min enhed sårbar?
Som Qualcomm er verdens førende designer og producent af LTE (Long Term Evolution) chipsæt, der styrer omkring 65% af LTE baseband modemmarkedet, er der en stor chance for at din enhed bliver udsat. Du kan kontrollere, om din enhed er sårbar ved at bruge QuadRooter Scanner, udviklet og udgivet af Check Point (de fyre, der fandt sårbarheden). Jeg har OnePlus One Top Six Bedste egenskaber ved OnePlus One - og One Drawback Top Seks bedste funktioner i OnePlus One - og en ulempe Jeg har boet hos OnePlus One i et par uger nu, og det er fantastisk, men det er ikke perfekt. Lad os løbe igennem nogle af de bedste funktioner - og en ulempe. Læs mere :
Triste tider for mig.
@oneplus hvornår forventer du at patches frigives til den alvorlige quadroot sårbarhed?
- Gazing Cyber (@gazingcyber) 8. august 2016
Er jeg sandsynligt at blive udnyttet?
Check Point anbefaler, at det er relativt nemt at udsætte en enhed med en af disse sårbarheder.
"En angriber kan udnytte disse sårbarheder ved hjælp af en ondsindet app. En sådan app ville ikke kræve nogen særlige tilladelser for at udnytte disse sårbarheder og lette eventuelle mistænkelige brugere, når de installeres. "
Dette er ikke en fejl, der er blevet introduceret af en firmwareopdatering. Sårbarheden var til stede, da din enhed blev sendt. Fejlen, der findes i softwaredrivere, der styrer kommunikationen mellem chipsetkomponenter, kan realistisk kun fastsættes af enhedsproducenten via en OTA-opdatering.
I modsætning til sidste års stagefright bug Hvordan 95% af Android-telefoner kan hakkes med en enkelt tekst Hvordan 95% af Android-telefoner kan hakkes med en enkelt tekst En ny Android-sårbarhed har sikkerhedssektoren bekymret - og det efterlader din smartphone ekstremt sårbar. StageFright-fejlen tillader, at ondsindet kode sendes via MMS. Hvad kan du gøre ved denne sikkerhed ... Læs mere, QuadRoot kræver faktisk installation af en ondsindet app, sandsynligvis efter at appinstallationer er muliggjort fra "Ukendte kilder". 10 Bedste Android-apps Ikke i Play Butik 10 Bedste Android Apps Ikke i Play Butik Play Butik er ikke den endelige version af Android apps. Hvis du aldrig har ventet uden for det, savner du virkelig. Læs mere Så godt som dette, og som Google har påpeget i deres erklæring (som du kan læse i det følgende afsnit), er Android-funktionen "Verify App" designet til at beskytte mod denne præcise type sårbarhed. Denne funktion ankom med Android 4.2 Jelly Bean, og i betragtning af at godt 90% af alle Android-enheder kører nu denne version eller senere, og at denne fejl kun påvirker det ovennævnte chipsæt - jeg tror, at alt går i orden.
Hvad sker der nu?
Som et professionelt sikkerhedsforskningsfirma informerede Check Point Qualcomm om sårbarheden måneder siden. Som sådan har de allerede producenten en chipset patch, der er blevet rullet ud til din enhedsproducent. Bolden ligger nu fast i deres ret.
Næsten alle telefoner fra de sidste par år er #Quadroot vulnarable gå ved tal! @google @GoogleIndia @ Mandy_017
- Srikanth Akula (@ srikie21) 9. august 2016
En række populære enhedsproducenter har allerede taget skridt til at berolige deres brugerbase. I et tilfælde er løsningen allerede rullet ud. Her er nogle af de største producenter, og deres nuværende status.
Google har flyttet hurtigt for at beskytte sine brugere.
"Android-enheder med vores nyeste sikkerhedsrettelsesniveau er allerede beskyttet mod tre af disse fire sårbarheder. Den fjerde sårbarhed, CVE-2016-5340, vil blive behandlet i en kommende Android-sikkerhedsbulletin, selv om Android-partnere kan handle hurtigere ved at henvise til det offentlige program, Qualcomm har leveret. "
Som kerneudviklere bag Android var Google også opsat på at fremhæve de øvrige sikkerhedsforanstaltninger, der allerede var gældende for Android-enheder.
"Vores verificerede apps og SafetyNet-beskyttelser hjælper med at identificere, blokere og fjerne programmer, der udnytter sårbarheder som disse."
Populære enheder: Nexus 5X, Nexus 6, Nexus 6P
Brombær
Som nævnt ovenfor havde en producent allerede rullet løsningen til brugerne. Kudos og ros er hæftet på håndsæt fremstillingsstalwarts, Blackberry.
"Tre af de fire sårbarheder er allerede blevet rettet på PRIV-enheder med August Marshmallow patch og på alle DTEK50 enheder. Desuden mildrer den sikre bootkæde i alle BlackBerry-enheder naturligvis det resterende problem. Vi er ikke opmærksomme på nogen udnyttelse af denne sårbarhed i naturen, og vi tror ikke, at nogen kunder i øjeblikket er i fare for dette problem. "
Populær enhed: Blackberry Priv
Sony
Sony arbejder på at gøre patcherne tilgængelige for deres Qualcomm-enheder.
"Sony Mobile tager sikkerhed og privatliv for kundedata meget alvorligt. Vi er opmærksomme på 'QuadRooter' sårbarhed og arbejder på at gøre sikkerheds patches tilgængelige inden for normal og regelmæssig software vedligeholdelse, både direkte til åbne enheder og via vores samarbejdspartnere, så timingen kan variere efter region og / eller operatør. ”
Populær enhed: Sony Xperia Z Ultra
Motorola
Motorola er en anden producent, der er i stand til at levere gode nyheder.
"For nylig blev der fundet en potentiel sikkerhedsproblem, Quadrooter i visse Android-enheder. Denne potentielle sårbarhed kan kun udnyttes, hvis en bruger deaktiverer den indbyggede Android-sikkerhedsforanstaltning og overfører en skadelig applikation. For mere information om, hvordan du sikrer, at dette er deaktiveret, er dette link nyttigt for forbrugerne. "
Populær enhed: Moto X
HTC
HTC har været lidt stille med hensyn til QuadRoot, i betragtning af at mindst to af deres enheder er i fare for eksponering.
"HTC tager kundesikkerhed meget alvorligt. Vi er opmærksomme på disse rapporter og undersøger dem. "
Populære enheder: HTC 10, HTC One M9
OnePlus
OnePlus har lavet beredskabsplaner for at inkludere QuadRoot opdateringen i sin næste patch.
"Sikkerhed er en topprioritet for OnePlus. De relevante sikkerheds patches vil blive inkluderet i de næste OTA'er (Over Air opdateringer) for alle OnePlus enheder. "
Samsung
Der har endnu ikke været nogen officiel erklæring fra Samsung.
Populære enheder: Galaxy S7, Galaxy S7 Edge
LG
Igen har der endnu ikke været nogen officiel erklæring fra LG.
Populære enheder: LG G5, LG G4, LG V10
Tid til at bekymre sig?
Som med de fleste sikkerhedsproblemer, skal du forblive årvågen. Disse sårbarheder eksisterer, men medmindre du downloader en app med den tilsvarende ondsindede kode, er det usandsynligt, at din enhed kan blive kompromitteret.
Google Play Butik indeholder mange millioner af applikationer; appen indeholder ondsindet kode Hvordan Android Porn Malware stjæler dine data Hvordan Android Porn Malware stjæler dine data Ondskabelig porn clicker Trojans er masquerading som duplikat apps, venter på at inficere din Android-enhed. Hvor hyppige er de? Hvad sker der, hvis du downloader en, og vigtigst af alt, hvordan kan du undgå dem? Læs mere designet til at udnytte disse særlige fejl kan være nogen af dem Piratkopiering På Android: Hvor dårlig er det virkelig? Piratkopiering på Android: hvor dårlig er det virkelig? Android er berygtet for sin voldsomme piratkopiering, så vi undersøger nøjagtigt hvor slemt det er. Læs mere . Som sådan forbliver opmærksom. Kontrollér feedback. Cross-check udvikler og udgiverinformation. Se på download-figurer. Overvej fælles svindel. Du må ikke downloade latterlige apps, der tilbyder at vende din telefon til noget, det er ikke.
Du bør klare at unddrage eventuelle potentielle malefaktorer, før producenten af enheden frigiver patcherne for at få din sikkerhed op til at ridse 6 Android Sikkerhed Apps, som du skal installere i dag 6 Android Sikkerhed Apps, du skal installere i dag Android-sikkerhedsapplikationer - i stand til at blokere malware- og phishing-forsøg - er nødvendige, hvis du ønsker at køre en sikker og sikker smartphone. Lad os se på nogle af de bedste Android-sikkerhedsprogrammer i øjeblikket ... Læs mere. Men denne seneste fejl fremhæver endnu en gang de iboende risici, der findes i hele Android-sikkerhedsmodellen. I modsætning til Apple, som simpelthen kan udvikle en patch og rollout til deres hundredvis af millioner af brugere, skal kritiske Android sikkerheds patches passere gennem hele leverandørens forsyningskæde, før de når de brugere, de er designet til at hjælpe.
Jeg elsker Android, og vil absolut fortsætte med at bruge det, men som bruger skal du være på vagt.
Bekymret for QuadRoot? Giver antallet af Android-sårbarheder dig til at genoverveje platformen? Lad os kende dine tanker nedenfor!