E grousse Sécherheetsbroch huet zu der Schafung vun "vertrauleche" Malware Uwendungen gefouert, déi Zougang zum ganze Betribssystem kréien Android. Apparater vu Samsung, LG an aner Hiersteller si vulnérabel.
Wéi vun engem Sécherheetsexpert an Entwéckler uginn Lukasz Siewierski, Google Sécherheetsinitiativ Android Partner Vulnerability Initiative (APVI) ëffentlech si verroden en neien Exploit deen Apparater vu Samsung, LG, Xiaomi an aner Hiersteller vulnérabel mécht. D'Krux vum Problem ass datt dës Hiersteller hir Ënnerschrëftschlëssel ausgeliwwert hunn Android. Den Ënnerschrëftschlëssel gëtt benotzt fir sécherzestellen datt d'Versioun Androidu Lafen op Ärem Apparat ass legitim, erstallt vum Hiersteller. Dee selwechte Schlëssel kann och benotzt ginn fir eenzel Uwendungen z'ënnerschreiwen.
Android et ass entwéckelt fir all Applikatioun ze trauen, déi mam selwechte Schlëssel ënnerschriwwen ass fir de Betribssystem selwer z'ënnerschreiwen. En Hacker mat dësen Uwendungsschlësselen kéint de "shared User ID" System benotzen Androidu fir voll System-Niveau Permissiounen fir d'Malware op de betroffenen Apparat ze ginn. Dëst géif en Ugräifer erlaben all d'Donnéeën um betroffenen Apparat ze kréien.
Fotogalerie
Et ass derwäert ze notéieren datt dës Schwachstelle net nëmme geschitt wann Dir eng nei oder onbekannt Applikatioun installéiert. Zënter dës geläscht Schlësselen AndroidA verschiddene Fäll gëtt d'Ënnerschreiwe vun allgemenge Applikatiounen och benotzt, dorënner d'Bixby Applikatioun op e puer Telefonen Galaxy, en Ugräifer kéint Malware op eng vertrauenswürdeg Applikatioun addéieren, déi béiswëlleg Versioun mam selwechte Schlëssel ënnerschreiwen, an Android géif et als "Update" vertrauen. Dës Method funktionnéiert egal ob d'App ursprénglech aus de Google Play Stores koum an Galaxy Store oder gouf sideloaded.
Laut Google ass den éischte Schrëtt fir de Problem ze fixéieren fir déi betraffe Firma hir hir ze ersetzen (oder "dréinen") androidov Ënnerschreiwe Schlësselen. Zousätzlech huet de Software Riese all Smartphone Hiersteller mat sengem System gefuerdert fir d'Frequenz vun der Benotzung vun Schlësselen fir Apps drastesch ze minimiséieren.
Dir kéint interesséiert sinn an
Google seet, datt zënter dem Thema am Mee vun dësem Joer gemellt gouf, Samsung an all aner betraffe Firmen scho "korrekturmoossnamen geholl hunn fir den Impakt vun dëse grousse Sécherheetsverletzungen op d'Benotzer ze minimiséieren." Wéi och ëmmer, et ass net ganz kloer wat dat genau heescht, well e puer vun de vulnérabele Schlësselen no dem Site APKMirror an de leschten Deeg huet hien v androidSamsung Uwendungen.
Google bemierkt datt den Apparat mat Androidem si géint dës Schwachstelle op verschidde Manéiere geschützt, dorënner d'Google Play Protect Sécherheetsfeature. Hien huet bäigefüügt datt den Ausbeutung et net op Apps gemaach huet, déi iwwer de Google Play Store verdeelt goufen.
Sou vulnérabel datt näischt mat Ki an hirem Liewen geschitt ass. Dëst ass just Bullshit.