Förstå den senaste säkerhetsskräcken för Android 'master key'

Ingen snurr, ingen skitsnack, bara tydligt enkelt prat om vad som händer den här gången

Några verkliga samtal om detta utnyttjande som Bluebox-säkerhetsteamet upptäckte behövs. Det första du vet är att du antagligen påverkas. Det är en exploit som fungerar på alla enheter som inte har korrigerats sedan Android 1.6. Om du har rotat och ROM-talat din telefon kan du fritt ignorera allt detta. Inget av detta räknas för dig, eftersom det finns en helt annan uppsättning säkerhetsproblem som kommer med root och anpassade ROM: er för dig att oroa dig för.

Om du inte har den beryktade behörighetsrutan "Okända källor" avmarkerad i dina inställningar betyder allt detta ingenting för dig. Fortsätt och känn dig fri att vara lite självmässig och själv rättvisa - du förtjänar det för att du undviker sidladdning hela tiden om något sådant skulle kunna hända. Om du inte vet vad detta betyder, fråga någon.

Läs resten av oss för resten av oss.

Mer: IDG News Service.

Vad är det?

Alla appar på din Android är signerade med en kryptografisk nyckel. När det är dags att uppdatera den appen måste den nya versionen ha samma digitala signatur som den gamla, annars kommer den inte att skriva över. Du kan inte uppdatera det, med andra ord. Det finns inga undantag, och utvecklare som tappar sin signeringsnyckel måste skapa en helt ny app som vi måste ladda ner igen. Det betyder att börja från noll. Alla nya nedladdningar, alla nya recensioner och betyg. Det är inte en triviell fråga.

Systemapparna - de som kom installerade på din telefon från HTC eller Samsung eller Google - har också en nyckel. Dessa appar har ofta fullständig administratörsåtkomst till allt på din telefon, eftersom de är betrodda appar från tillverkaren. Men de är fortfarande bara appar.

Följer du fortfarande efter mig?

Det vi pratar om nu, vad Bluebox pratar om, är en metod för att riva upp en Android-app och ändra koden utan att störa den kryptografiska nyckeln. Vi hejar när hackare tar sig runt låsta bootloaders, och det här är samma typ av exploatering. När du låser något, kommer andra att hitta en väg in om de försöker tillräckligt hårt. Och när din plattform är den mest populära på planeten, människor försöker mycket hårt.

Så någon kan ta en systemapplikation från en telefon. Dra bara ut det. Med hjälp av detta utnyttjande kan de redigera det för att göra otäcka saker - ge det ett nytt versionnummer och packa tillbaka det tillsammans samtidigt som du håller samma, giltiga signeringsnyckel. Du kan då eventuellt installera den här appen direkt över din befintliga kopia, och du har nu en app utformad för att göra dåliga saker och den har fullständig åtkomst till hela systemet. Hela tiden kommer appen att se ut och bete sig normalt - du vet aldrig något som fiskar pågår.

Usch.

Vad görs med det?

Folk på Bluebox berättade för hela Open Handset Alliance om detta tillbaka i februari. Google och OEM: er ansvarar för att lappa saker för att förhindra det. Samsung gjorde sin del med Galaxy S4, men alla andra telefoner som de säljer är sårbara. HTC och One gjorde inte klippet, så alla HTC: s telefoner är sårbara. Faktum är att varje telefon utom Samsung Touchwiz-versionen Galaxy S4 är sårbar.

Google har ännu inte uppdaterat Android för att korrigera det här problemet. Jag kan föreställa mig att de arbetar hårt med det - se problemen Chainfire har gått igenom Android 4.3. Men Google satt inte tomt och ignorerade det heller. Google Play-butiken har "patched" så att inga manipulerade appar kan laddas upp till Googles servrar. Det betyder att alla appar som du laddar ner från Google Play är rena - åtminstone när det gäller denna speciella exploatering. Men platser som Amazon, Slide Me och naturligtvis alla de knäckta APK-forumen där ute är vidöppna och varje applikation kan ha dålig JuJu inuti den.

Så det här är en riktigt stor sak?

Ja det är en enorm affär. Och samtidigt, nej, det är det verkligen inte.

Google kommer att lappa det sätt på vilket Android uppdaterar appar eller hur de är signerade. I detta katt-och-mus-spel är detta en normal händelse. Google släpper programvara, hackare (både den goda och den dåliga typen) försöker utnyttja den och när de gör ändrar Google koden. Så fungerar programvara, och den här typen av saker bör förväntas när du har tillräckligt smarta människor som försöker bryta sig in.

Å andra sidan kanske telefonen du har någonsin aldrig kommer att se en uppdatering för att fixa detta. Helvete, det tog Samsung nästan ett år att korrigera webbläsaren mot en exploit som kunde radera all din användardata på bara några av sina telefoner. Om du har en telefon som du förväntar dig att uppdateras till Android 4.3 kommer du förmodligen att bli korrigerad. Om inte, är det någon gissning. Det är dåligt - väldigt dåligt. Jag försöker inte slå på de människor som tillverkar våra telefoner, men sanning är sanning.

Vad kan jag göra?

• Ladda inte ner några appar utanför Google Play.
• Ladda inte ner några appar utanför Google Play.
• Ladda inte ner några appar utanför Google Play.
• I själva verket, gå vidare och stäng av okända källor tillstånd om du vill. Jag gjorde. Allt annat lämnar dig sårbar. Vissa "Anti-Virus" -appar kommer att kontrollera om du har okända källor aktiverade om du inte är säker. Gå in i forumen och ta reda på vilken som alla säger är bäst om du behöver.
• Uttryck din missnöje med att inte få väsentliga säkerhetsuppdateringar för din telefon. Särskilt om du fortfarande är på det tvååriga (eller treåriga - hej Kanada!) Kontraktet.
• Rota din telefon och installera en ROM som har någon form av fix - de populära kommer troligen att ha på mycket snart.

Så få inte panik. Men var proaktiv och använd lite sunt förnuft. Nu är det en riktigt bra tid att sluta installera knäckta appar, eftersom de som gör krackningen är samma typ av människor som kan sätta ond kod i appen. Om du får några uppdateringsmeddelanden som kommer från en annan plats än Google Play, berätta för någon. Berätta om du behöver. Ta reda på de människor som försöker vidarebefordra dessa exploater och ge dem en tung dos offentligt skam och exponering. Kackerlackor hatar ljuset.

Detta kommer att passera som säkerhets skrämmer alltid gör, men en annan kommer att gå in för att fylla sina skor. Det är djurets natur. Håll dig säker.