来自Android相机漏洞马戏团的5个真正的外卖
我不知道你是否在本周读过很多消息,但似乎天空正在落下,我们就会变得非常注定。
不,我不是在谈论这个新闻 - 像往常一样,这是另一栏的另一个出版物 - 而是一些Android相机应用程序的安全漏洞的消息可以将我们的手机转变为隐私掠夺间谍门户并结束我们知道的人类生活。
我的意思是,你见过一些头条新闻吗?!
“数亿个Android手机摄像头可以被间谍软件劫持”“Android缺陷让rogue应用程序拍照,录制视频即使您的手机被锁定”“Android缺陷让应用程序秘密地访问人员的相机并将视频上传到一个外部服务器“神圣的芙蓉,亨利!即使我从所有人那里颤抖,我也知道它是一堆误导,敏感的hooey。
让“备份秒”并为所有这些提供一些上下文:一家名为CHECKMARX(猜测它的钱)发布了一份报告,详细介绍了在某些Android设备制造商“相机应用程序中的漏洞。这种弱点使公司的研究人员可以创建一个应用程序,可以在没有所有者同意的情况下从手机中捕获和收集照片。并且,是的,漏洞可能会影响数亿人。
[每周五,使用JR的Android Intelligence时事通讯,在您的收件箱中获得新的提示和洞察力。独家额外等待!]尽管如此,像往常一样,有一些大,多汁但涉及。和那些充足的闪闪发光,闪闪发光,是了解这个故事真正告诉我们的东西,我们应该消除什么,以及 - 批判 - 为什么我们应该在进一步通知之前在小心地覆盖掩体中畏缩。
让我们打破它,我们吗?
1.所有这一切的应用程序都是一个概念验证创作,没有已知的真实世界实施。
在你的那些美丽的大小写之前,请记住,这整件事是一个安全公司的演示 - 一项研究人员的行为积极寻求漏洞利用和y“知道,然后使用来推广自己的产品(有趣的是如何搞定,不是它?)。
就任何人都意识到而言,这不是,实际的数据行为被盗在现实世界中。
2.除此之外,设置需要您下载和安装随机(理论)应用程序以运行。
这不是一个情况,你的手机突然开始将个人照片突然出现在里海的一些随机服务器。(那些海上居住的美人鱼服务器是最糟糕的,而不是他们?)相机应用程序中的漏洞只能通过辅助应用程序进行的仔细操作 - 为此目的而明确创建的东西,以及您的某些东西,您必须在您造成任何损坏之前向下载和安装之路。
这种应用程序从未实际存在,在这种受控实验之外。即使它再次做到了,你也必须在做任何事情之前下载它。
3.该漏洞报告给谷歌和三星,两者都会迅速修补错误。
在发现这个刺的豪猪后的一个问题之后,CheckMarx Chums将垃圾桶堆积在谷歌上 - 而且在三星之后不久,它被发现了它的相机应用程序也受到影响。两家公司都努力纠正有关的代码,并从据报道推出补丁以修复缺陷。
至于关于“数亿”的手机受到影响?是的,这是指三星手机 - 这一次再次修补了这整件事人的公众。与一些懒惰,耸人听闻的头条新闻相反,没有什么可以表明数亿人以任何方式积极地受到这种风险。
4.这正是安全性应该如何强制驱逐软件。
任何软件 - 桌面操作系统,移动操作系统,任何平台上的应用,您都在名称 - 本质上是不完美的。这是“野兽的本质;漏洞总是会出现,软件是否由谷歌,三星,苹果或其他任何想象力的人控制。
事实上,这就是为什么这么多公司积极寻求,有时候甚至要支付人们在他们的软件中寻找安全漏洞 - 所以他们可以找到“EM,修复”EM,并继续加强他们的计划。(谷歌今天就是这样做,实际上,它的刚刚宣布扩大其Android安全奖励计划,现在对于揭示一个特别有问题的错误的任何人来说,最多奖金为150万美元。)它是一个永无止境的演变,它是谷歌的同样的故事,因为它是每个主要的软件公司。
最重要的是,该公司所讨论的公司响应所识别的问题,然后迅速修补它们 - 理想地在任何真正的损坏完成之前。这就是我们在这种情况下看到的效果。
5.这提醒了为什么要及时更新的事情 - 以及为什么你应该使用不提供“o的公司的电话。
虽然谷歌尤其是三星被召唤出来作为这个问题的主要问题,但CheckMarx表示它发现的漏洞可能会影响其他手机制造商的相机应用程序“设备 - 并且”多个供应商联系了“多个供应商”更多比一个月前。
现在,再次记得我们刚刚谈过的内容:没有理由相信任何手机都处于任何迫在眉睫的现实危险。但是,显然,这不是一种脆弱性 - 无论如何,无论如何,你可能是 - 你想留在你的个人技术上。
那么,这是一下,这是一个强大的提醒,只有它是有多么重要的是,它的制造商实际上都认真对待安全性并发送及时更新,而不仅仅是在这样的应用程序特定的情况下,而且在涉及到Android时“每月补丁 - 在系统级别的地址有类似种类的缺陷 - 以及Android操作系统更新,包括无数的隐私和安全改进,并且大约不仅仅是新鲜的油漆和功能。
如果您使用手机,其中制造商始终如一地提供所有这些前锋(并且让我们是诚实的,那么难以理解的是那些做的许多设备制造者),你就会选择自己进入越来越优秀的安全性换取,什么?一些华而不实的硬件,也许,或者你以前的品牌名称?并一如既往地,它很难看出,如何以任何方式达成这种方式,特别是当优秀的更新友好的选择随时可用,只需几百美元。
但仍然,所有事情都在视角下:天空是“T下降,鸡少 - 通过你的手机可以看到任何令人着迷的景点,在所有可能性中,都没有秘密地录制或与任何盗窃偷偷摸摸的偷窥者。
一点批判性思维和一些简单的问题在播出了这样的情况下播出了梅洛德思想的标题炒作。而且,正如这个最新的FOOFARAW提醒我们,因为恐慌的原因很少 - 无论恐慌如何才能最初似乎。
注册我的每周通讯,以获得更多实用的提示,个人建议和普通英语的消息。
[Computerworld的Android Intelligence视频]