פרסומת

פגיעויות אנדרואיד מעוררות את אותן רגשות כמו הפרת נתונים מאסיבית מה שאתה צריך לדעת על דליפת חשבונות הלינקדאין האדיריםהאקר מוכר 117 מיליון תעודות לינקדאין פרוצות ברשת האופל בסביבות 2,200 דולר בביטקוין. קווין שבזי, מנכ"ל ומייסד LogMeOnce, עוזר לנו להבין מה בדיוק נמצא בסיכון. קרא עוד : התרחשות שכיחה ביותר שאולי אוכל למצוא את עצמי חלק ממנה. לפחות עם הפרת נתונים מאסיבית יש לי הזדמנות לנתק את חשבונותיי ולהזהיר את פצע הנתונים. עם באג האנדרואיד האחרון - QuadRoot - זה פשוט לא אפשרות.

זה לא נובע מכך שהפגיעות לא לגמרי נמצאת באנדרואיד. לא, המכשיר שלך נפגע על ידי ענקית ייצור החומרה האמריקאית קוואלקום, והפופולריות המוערכת שלהם כתחנת הכוח שנבחרה עבור מכשירי אנדרואיד הרבים שסביבם עולם.

באג זה שונה במקצת מהמקובל. כאשר באגים אנדרואיד בדרך כלל משפיעים על מספר יצרני בודד, או קטן, המשתמשים במערכת חומרה ספציפית, מעריכים כי QuadRoot משפיע על כ -900 מיליון משתמשי אנדרואיד ברחבי העולם. זה אני ואני וכל מי שאי פעם אהבת.

בואו נראה מה זה QuadRoot, מה זה אומר עבורכם, ובדיוק מה לכל הרוחות מישהו באמת עושה כדי לתקן את זה.

instagram viewer

QuadRoot הוא גדול

כמה דברים מבדילים את QuadRoot מבאגים אחרים באנדרואיד שנתקלנו בהם בשנים האחרונות. למתחילים, צ'ק פוינטצוות מחקר האבטחה שגילה את הבאג תסביר את זה:

"QuadRooter הוא קבוצה של ארבע פגיעויות המשפיעות על מכשירי אנדרואיד שנבנו באמצעות ערכות שבבים של קוואלקום. קוואלקום היא המעצבת המובילה בעולם של ערכות שבבי LTE עם נתח של 65% משוק הרשת הבסיסית של מודם LTE. אם מנוצלת אחת מארבע הפגיעויות, תוקף יכול לעורר הסלמות של הרשאות לצורך קבלת גישה שורשית למכשיר. "

הם מפרטים את ארבע פגיעויות האבטחה כ:

  • CVE-2016-2503 התגלה במנהל התקן ה- GPU של קוואלקום ותוקן בעלון האבטחה של אנדרואיד של גוגל ביולי 2016.
  • CVE-2016-2504 נמצא במנהל התקן GPU של קוואלקום ותוקן בעלון האבטחה של אנדרואיד של גוגל לאוגוסט 2016.
  • CVE-2016-2059 נמצא במודול הליבה של קוואלקום ותוקן באפריל, אם כי מצב התיקון אינו ידוע.
  • CVE-2016-5340 הוצג במנהל התקן GPU של Qualcomm ומצב תיקון קבוע אך לא ידוע.

האם ניתן לפגוע במכשיר שלי?

מכיוון שקוואלקום היא המעצבת והיצרנית המובילה בעולם של ערכות השבבים LTE (Long Term Evolution), פיקוד סביב 65% משוק המודם של LM Baseband, יש סיכוי משמעותי שהמכשיר שלך ייחשף. אתה יכול לבדוק אם המכשיר שלך פגיע באמצעות סורק QuadRooter [No Longer Available], שפותח ופורסם על ידי Check Point (החבר'ה שמצאו את הפגיעות). יש לי OnePlus One ששת התכונות הטובות ביותר של ה- OnePlus One - וחיסרון אחדאני חי עם ה- OnePlus One כבר כמה שבועות, וזה מדהים, אבל זה לא מושלם. בואו לעבור על כמה מהתכונות הטובות ביותר - וחיסרון אחד. קרא עוד :

סריקת יישומי QuadRoot ופנורמת תוצאות

זמנים עצובים עבורי, אכן.

@oneplus מתי אתה צופה כי טלאים ישוחררו בגלל הפגיעות הקשה של Quadroot?

- Gazing Cyber ​​(@gazingcyber) 8 באוגוסט 2016

האם אני עשוי להיות מנוצל?

צ'ק פוינט ממליצה כי קל יחסית לחשוף מכשיר עם אחת מהפגיעויות הללו.

"תוקף יכול לנצל את הפגיעויות הללו באמצעות אפליקציה זדונית. אפליקציה כזו אינה דורשת הרשאות מיוחדות כדי לנצל את הפגיעויות הללו, ולהקל על כל חשד שיש למשתמשים בעת ההתקנה. "

זה לא פגם שהוצג על ידי עדכון קושחה. הפגיעות הייתה קיימת כאשר המכשיר שלך נשלח. על ידי יצרן המכשירים ניתן לתקן את הליקוי שנמצא במנהלי תוכנה השולטים בתקשורת בין רכיבי ערכת השבבים באמצעות עדכון OTA.

שלא כמו באג Stagefright בשנה שעברה כיצד ניתן לפרוץ 95% מטלפונים אנדרואיד עם טקסט בודדפגיעות אנדרואיד חדשה חוששת מעולם האבטחה - והיא מותירה את הטלפון החכם שלך פגיע ביותר. באג StageFright מאפשר לשלוח קוד זדוני באמצעות MMS. מה אתה יכול לעשות בביטחון הזה ... קרא עוד , QuadRoot למעשה דורש התקנה של אפליקציה זדונית, ככל הנראה לאחר מכן מאפשר התקנות אפליקציות מ"מקורות לא ידועים. " 10 האפליקציות הטובות ביותר לאנדרואיד שלא נמצאות בחנות Playחנות Play אינה אפליקציות האנדרואיד הסופיות לכולם. אם מעולם לא העזת מחוץ לזה, אתה באמת מפספס. קרא עוד כמו כן, וכפי שגוגל ציינה בהצהרתם (עליה תוכלו לקרוא בהמשך בסעיף), התכונה 'אמת את האפליקציה' של Android נועדה להגן מפני פגיעות מסוג זה. תכונה זו הגיעה עם אנדרואיד 4.2 ג'לי שעועית, והיא ניתנה כי יותר מ 90% מכל מכשירי ה- Android מריצים גרסה זו או יותר מאוחר יותר, ו שהבאג הזה משפיע רק על מערך השבבים שהוזכר לעיל - אני חושב שהכל יהיה בסדר.

גרסאות אנדרואיד בשימוש 2016

מה קורה עכשיו?

בהיותה חברת מחקרי אבטחה מקצועית, צ'ק פוינט הודיעה ל- Qualcomm על הפגיעות לפני חודשים. ככאלה, הם כבר יצרו תיקון ערכות שבבים שהופעל ליצרן המכשירים שלכם. הכדור מונח כעת היטב במגרש שלהם.

כמעט כל הטלפונים מהשנים האחרונות היו # Quadroot מספרים בלתי פוסקים! @google@GoogleIndia@ מנדי_017

- סריקנת אקולה (@ srikie21) 9 באוגוסט 2016

מספר יצרני מכשירים פופולריים כבר נקטו צעדים בכדי להרגיע את בסיס המשתמשים שלהם. במקרה אחד התיקון כבר התגלגל. להלן כמה מהיצרנים הגדולים, ו- מצבם הנוכחי.

גוגל

גוגל עברה במהירות להגן על המשתמשים שלה.

מכשירי אנדרואיד עם רמת תיקון האבטחה האחרונה שלנו מוגנים כבר מפני שלוש מארבע הפגיעויות הללו. הפגיעות הרביעית, CVE-2016-5340, תטופל בעלון האבטחה הקרוב של אנדרואיד, אם כי שותפי אנדרואיד יכולים לנקוט בפעולה מוקדם יותר על ידי הפניית התיקון הציבורי שיש ל- Qualcomm מסופק. "

כמפתחי הליבה שמאחורי אנדרואיד, גוגל גאה להדגיש את אמצעי האבטחה האחרים שכבר היו קיימים למכשירי אנדרואיד.

"ההגנות שלנו לאמת אפליקציות והגנת SafetyNet עוזרות בזיהוי, חסימת והסרת יישומים המנצלים פגיעויות כמו אלה."

מכשירים פופולריים: Nexus 5X, Nexus 6, Nexus 6P

אוכמניות

כפי שציינתי לעיל, היה ליצרן אחד כבר גלגלתי את התיקון למשתמשים. Kudos ושבחים ניתן להשיג על ידי מכשירי ייצור בייצור סורגים, Blackberry.

"שלוש מארבע הפגיעויות כבר תוקנו במכשירי PRIV עם תיקון מרשמלו אוגוסט ובכל התקני DTEK50. בנוסף, שרשרת האתחול המאובטחת הקיימת בכל מכשירי BlackBerry מקלה באופן טבעי את הבעיה שנותרה. איננו מודעים לניצולים כלשהם של פגיעות זו בטבע ואנחנו לא חושבים כי לקוחות כרגע נמצאים בסיכון מבעיה זו. "

מכשיר פופולרי: Blackberry Priv

סוני

סוני פועלת להנגשת הטלאים עבור מכשירי קוואלקום שלהם.

"Sony Mobile מתייחסת ברצינות רבה לאבטחה ופרטיות של נתוני לקוחות. אנו מודעים לפגיעות 'QuadRooter' ופועלים להנגיש את תיקוני האבטחה באופן רגיל ורגיל תחזוקת תוכנה, ישירות למכשירי שוק פתוח והן באמצעות שותפי הספק שלנו, כך שתזמון יכול להשתנות לפי אזור ו / או מפעיל. "

מכשיר פופולרי: סוני Xperia Z Ultra

מוטורולה

מוטורולה היא יצרנית אחרת המסוגלת לספק חדשות טובות.

"לאחרונה התגלה פגיעות אבטחה פוטנציאלית, Quadrooter במכשירי אנדרואיד מסוימים. ניתן לנצל פגיעות פוטנציאלית זו רק אם משתמש מבטל את אמצעי האבטחה המובנה באנדרואיד ומוריד יישום זדוני. למידע נוסף על האופן בו ניתן להבטיח שזה מושבת, קישור זה מועיל לצרכנים.”

מכשיר פופולרי: מוטו X

HTC

HTC שקטו מעט בכל הקשור ל- QuadRoot, בהתחשב בכך שלפחות שניים מהמכשירים שלהם נמצאים בסיכון לחשיפה.

"HTC מתייחסת ברצינות רבה לאבטחת הלקוחות. אנו מודעים לדוחות הללו ובוחנים אותם. "

מכשירים פופולריים: HTC 10, HTC One M9

OnePlus

OnePlus תכננה תוכניות מגירה לכלול את עדכון QuadRoot בתיקון הבא שלה.

"אבטחה היא בראש סדר העדיפויות של OnePlus. תיקוני האבטחה הרלוונטיים ייכללו ב- OTA הבאים (עדכוני Over The Air) עבור כל מכשירי ה- OnePlus. "

סמסונג

טרם נמסרה הצהרה רשמית של סמסונג.

מכשירים פופולריים: Galaxy S7, Galaxy S7 Edge

LG

שוב, טרם התקבלה הצהרה רשמית של LG.

מכשירים פופולריים: LG G5, LG G4, LG V10

זמן לדאוג?

כמו ברוב פגיעויות האבטחה, עליכם להישאר ערניים. פגיעויות אלה קיימות, אך אלא אם כן אתה מוריד אפליקציה עם הקוד הזדוני המתאים, לא סביר שתמצא שהמכשיר שלך נפגע.

חנות Google Play מכילה מיליוני יישומים רבים; האפליקציה מכילה קוד זדוני כיצד תוכנות זדוניות פורנו אנדרואיות גונבות את הנתונים שלךקליקים פורנו זדוניים סוסים טרויאניים מתחפשים לאפליקציות כפולות, ומחכים להדביק את מכשיר ה- Android שלך. עד כמה הם נפוצים? מה קורה אם מורידים אחד כזה, והכי חשוב איך אתה יכול להימנע מהם? קרא עוד נועד לנצל את הבאגים הספציפיים האלה יכול להיות כל אחד מהם פיראטיות באנדרואיד: כמה זה באמת גרוע?אנדרואיד ידועה לשמצה בזכות הפיראטיות המשתוללת שלה, ולכן אנו בודקים בדיוק כמה זה גרוע. קרא עוד . ככאלה, הישארו ערניים. בדוק משוב. בדוק מידע על מפתחים ובעלי אתרים. הביטו בנתוני ההורדה. שקול הונאות נפוצות. אל תוריד אפליקציות מגוחכות שמציעות להפוך את הטלפון שלך למשהו שהוא לא.

עליכם להצליח להתחמק מכל גורם זדוני אפשרי לפני שיצרן המכשירים ישחרר את התיקונים אליהם תביא את האבטחה שלך לאפס 6 אפליקציות אבטחה לאנדרואיד שכדאי להתקין היוםאפליקציות אבטחה של אנדרואיד - המסוגלות לחסום ניסיונות זדוניות וניסיון דיוג - נחוצות אם ברצונך להפעיל סמארטפון בטוח ומאובטח. בואו נסתכל על כמה מאפליקציות האבטחה הטובות ביותר באנדרואיד כרגע ... קרא עוד . עם זאת, באג אחרון זה מבליט שוב ​​את הסיכונים הגלומים בכל מודל האבטחה של אנדרואיד. שלא כמו אפל, שיכולה פשוט לפתח תיקון והפעלה למאות מיליוני המשתמשים שלהם, אבטחת אנדרואיד קריטית טלאים צריכים לעבור בכל שרשרת האספקה ​​של כל יצרן לפני שהם מגיעים למשתמשים אליהם הם מתוכננים עזרה.

אני אוהב את אנדרואיד, ואמשיך לחלוטין להשתמש בה, אך כמשתמש, עליך להישאר על המשמר.

מודאגים מ- QuadRoot? האם מספר הפגיעויות באנדרואיד גורם לך לשקול מחדש את הפלטפורמה? תן לנו לדעת את המחשבות שלך למטה!

גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.