Skadliga filer har återigen hittat vägen in på Android Market, med en uppsättning applikationer som kapats, omvänd konstruerad med skadlig kod injicerad och publicerad tillsammans med de legitima applikationerna.
Två saker måste nämnas på framsidan - Google har redan tagit bort apparna från marknaden, och den här gången påverkade de bara användare i Kina, där de också kommer från. Om du läser den här historien är du förmodligen säker och har aldrig varit i riskzonen. Men detta är fortfarande en stor oro. En uppsättning skurkar (det är min säkra för arbete-version) kunde de-kompilera appar från en legit utvecklare, sätta in någon kod som skickar SMS till en kinesisk prenumerationstjänst och tog sedan några riktigt geniala steg för att behålla allt gömt för användaren. Det kommer att hända, eftersom allt som är elektroniskt och populärt nog är ett mål. Den del som handlar om är att dessa tar sig in på Android Market.
Låt mig få några hundra ord med dig om det efter pausen.
Källa: AegisLabs via Sophos; Tack, Tony Bag o 'Donuts!
Jag är kluven. Som användare och på personlig nivå säger jag att lämna allt öppet, och tvingar användare att vara flitiga och bara installera appar de litar på, oavsett var de kommer ifrån. Lär dig vad behörigheterna är och varför en app kanske inte behöver dem (dvs. Adobe Reader). Men som en bloggare och (förhoppningsvis) respekterad Android-myndighet har jag ett ansvar gentemot våra läsare att vilja ha det bästa för dem. Det är ni. Många av er respekteras Android myndigheter i din egen rätt, och har inga problem att urskilja vad som är säkert och vad som inte. Många andra är det inte och beror på Android Central och andra internetresurser för att ge goda råd om hur man kan vara säker. Detta lämnar mig i en bit av en pickle.
När jag läste de olika säkerhetspublikationerna om denna, kom jag på en riktigt intressant idé från Vanja Svajcer på Sophos. Hans idé är enkel och lätt att genomföra - det vi behöver är två uppsättningar med signeringsnycklar. Program som vill eller behöver göra saker som att skicka SMS eller spela med din kontaktlista måste använda en uppsättning verifierade nycklar knutna till ett legitimt utvecklarkonto som har godkänts av Google. Låt fart-apparna och teman fortsätta att använda användargenererade nycklar - tvinga inte hobbyutvecklare att hoppa igenom några bågar för människorna på Mountain View om de inte kommer att göra något som kan skapa en potentiell säkerhetsproblem. Men i det ögonblick en app vill komma åt din telefonbok eller använda din GMail-autorisation kan du kontrollera signeringsnyckeln och verifiera den. Håll användarna säkra, så kommer de att vara lyckliga. Glada användare köper fler appar och fler Android-produkter. Raketvetenskap det är inte. Vanja slog spiken kvadratisk på huvudet med den här - vad säger ni, Google?
Någon, den här är över och gjort. Om du är nyfiken, här är en lista över de berörda applikationerna. Observera att alla snabbt avlägsnades från marknaden och bara drabbade användare med ett kinesiskt språk och telefonnummer.
- iBook
- iCartoon
- Kärleksbarn
- 3D Cube skräck fruktansvärt
- Sea Ball
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- jag min
- iGuide
Vi kommer att hålla ett öga på saker och meddela dig nästa gång det händer. Och det kommer en nästa gång - avvägningen för att kunna ha kick-ass-appar som Handcent har appar som använder samma funktioner och öppenhet för saker som vi hellre vill att de inte gjorde. Just nu måste jag föreslå två saker:
- Använd en "virusscanner". Ja, jag vet att det inte finns några virus för Android, men namnen fastnar fast. Alla säkerhetsproblem hittills har krävt att slutanvändaren vill installera dem. Du kommer inte bli smittad med någonting bara genom att använda din telefon. Det finns flera på marknaden att välja mellan. De fungerar alla, så kontrollera funktionerna hos var och en och gör ett val. Var då glad att vi har dem att göra det smutsiga arbetet för oss.
- Installera inte några appar du inte borde vara. Ja, det är frestande och vi gjorde det ganska enkelt med Sideload Wonder Machine (men det var inte min avsikt!). Säkerhetsbloggarna blåser inte bara rök när de varnar dig om detta. Om du är kapabel kan du slå ett av dessa pirat-appforum och ladda ner en handfull, sedan vända dem och jämför dem mot de officiella versionerna. Om du inte är kapabel, bara lita på oss. Cirka hälften av dem har några allvarliga skillnader i koden. Håll fast vid appar du litar på. Eller hålla fast vid marknaden - om du fastnar i en trojansk kommer Google att fixa dig. Utvecklarna förtjänar inte bara de få dollar som de ber om sitt hårda arbete, du kommer att bli säkrare i slutändan.
