我不知道你这周是否读了很多新闻,但看起来天要塌下来了,我们都难逃厄运。
不,我不是在谈论新闻——像往常一样,这是另一个专栏的另一个新闻出版——而是一个安全缺陷在某些Android摄像头应用程序可以把手机变成privacy-plundering间谍门户和终结我们所知的人类生活。
我是说,你看过这些头条新闻吗?
“数以亿计的安卓手机摄像头可能被间谍软件劫持”
“安卓漏洞允许流氓应用拍照、录像,即使你的手机是锁着的”
“Android的一个缺陷让应用程序可以秘密访问人们的摄像头,蓝冠注册将视频上传到外部服务器”
神圣的芙蓉,亨利!甚至我都为这一切而颤抖,我知道这是一群误入歧途、哗众取宠的胡言乱语。
让我们回顾一下,并提供一些背景:一家名为Checkmarx(猜测一下它是如何赚钱的)的公司本周发布了一份报告,详细描述了它在某些Android设备制造商的相机应用程序中发现的一个漏洞。该公司的研究人员利用这一弱点开发了一款应用程序,可以在未经用户同意的情况下从手机上捕捉和收集照片。是的,这种脆弱性可能影响了数亿人。
不过,像往常一样,这类故事也有一些大而有趣的“但是”。而那些充足的、闪闪发光的“但是”是理解这个故事真正告诉我们的东西的关键,我们应该从中得到什么,以及——更重要的是——为什么我们不应该在进一步通知之前蜷缩在精心掩蔽的掩体里。
让我们把它分解一下,好吗?
1. 这一切的核心是一个概念验证的创造,没有已知的现实世界的实现。
土壤之前那些美丽的你的裤子,首先记住,整个就是一个安全公司的示范——的研究人员积极寻找漏洞利用,也知道吧,然后使用推广自己的产品(有趣的是,总是工作,不是吗?)。
据大家所知,这并不是真实世界中数据被盗的实际行为。
2. 除此之外,安装程序还需要你下载并安装一个随机的(理论上的)应用程序才能运行。
在这种情况下,你的手机不会突然开始向里海的某个随机服务器发送个人照片。(那些生活在海里的美人鱼是最糟糕的,不是吗?)摄像头应用程序的漏洞只有通过二级应用程序的仔细操作才能被利用——二级应用程序是专门为这个目的创建的,而在它造成任何损害之前,你必须花大力气下载并安装它。
在这个受控实验之外,这样的应用程序实际上从未存在过。即使它能做到,你也必须在它能做任何事之前下载它。
3.这个漏洞被报告给了谷歌和三星,两家公司都迅速修复了这个漏洞。
在发现了这个棘手的问题后,Checkmarx的朋友们把堆积如山的炖牛肉传给了谷歌——不久之后又传给了三星,因为他们发现三星的相机应用也受到了影响。这两家公司都在努力修正有问题的代码,据报道已经发布了补丁来修复这个缺陷。
至于“数以亿计”的手机受到影响?是的,这指的是三星手机——在整个事件公诸于众之前,三星手机又打了补丁。与一些懒惰的、耸人听闻的新闻标题所暗示的相反,没有任何迹象表明,数以亿计的人正处于风险之中。
4. 这正是安全性应该如何促使软件发展的。
任何软件——桌面操作系统、移动操作系统、任何平台上的应用程序,凡是你能想到的——本质上都是不完美的。这就是野兽的本性;漏洞总是会出现,不管软件是由谷歌、三星、苹果还是任何你能想到的人控制。
事实上,这就是为什么那么多的公司积极寻找,有时甚至付钱让人们去寻找他们软件中的安全缺陷——这样他们就能找到它们,修复它们,并继续加强他们的程序。(事实上,谷歌今天就是这么做的,它刚刚宣布扩大Android安全奖励计划,现在谁发现了一个特别有问题的bug,谁就能获得150万美元的最高奖励。)这是一个永无止境的发展过程,谷歌的情况和所有主要软件公司的情况一样。
最终重要的是,有问题的公司会对发现的问题做出反应,然后迅速修补——最好是在造成任何实际损害之前。这正是我们在这种情况下看到的结果。
5. 这是一个提醒,为什么及时更新很重要,为什么你不应该使用不提供及时更新的公司的手机。
虽然谷歌,尤其是三星被认为是这个问题的主要关注点,但Checkmarx表示,它发现的漏洞可能会影响到其他手机制造商设备上的摄像头应用程序,而且一个多月前,“多家供应商接触到”同样的信息。
现在,再一次,记住我们刚刚谈论的:没有理由相信任何一款手机会因此面临任何迫在眉睫的、现实的危险。但是,很明显,这并不是那种你想在你的个人技术上留下的漏洞——尽管它可能是理论上的和需要下载的——。
更重要的是,这是一个多么重要的提醒的手机制造商重视安全,及时发送更新,不仅在app-specific这种情况下还在Android的月度补丁——地址相似类型的缺陷在系统层面上,Android操作系统更新,其中包括无数的隐私和安全改进和不仅仅是关于油漆和特性。
如果你使用的手机,其制造商在所有这些方面都始终如一地提供服务(而且,老实说,没有多少设备制造商这样做),你就选择了不那么理想的安全保障来换取什么?也许是一些华而不实的硬件,或者一个你以前买过的品牌?而且,像往常一样,很难看出这在任何方面是明智的,特别是当优秀的更新友好的选项随时可用,只需几百美元。
但是,所有的事情都是可以预见的:天空并没有塌下来,蓝冠注册小鸡——无论你通过手机摄像头看到什么迷人的景象,都很有可能不会被秘密地记录下来,也不会被任何想偷窥的人分享。
在这种情况下,一点批判性思维和几个简单的问题就能帮助你克服夸张的标题炒作。而且,正如最新的foofaraw提醒我们的那样,无论一开始看起来多么耸人听闻,人们很少有理由感到恐慌。