Amazons app store sätter miljoner Android-enheter på risk

0
236

(Bild: CNET/CBS Interactive)

Fråga nästan vilken säkerhet expert, och de kommer att berätta för dig att byta på “okända källor” på din Android-telefon eller surfplatta är en av de värsta saker du kan göra för enheten säkerhet.

Men det är precis vad Amazon har bett sin app store för kunderna att göra i år.

Kärnan i problemet är Amazon: s krav för att tillåta installationer från okända källor” – det vill säga, någon app eller ett spel som inte har noggrant kontrollerats av Google Play app store. Det beror på att medan nästan alla av Amazons appar som redan finns i Google Play, detaljhandeln jätte egna tredje part app store, dubbade Underground, är inte tillåtna.

Öppna din Android-telefon eller surfplatta upp till apps och spel utanför Googles skyddande muromgärdad trädgård även gör enheten oändligt mycket mer sårbara för skadlig kod.

Och det är ingen hemlighet. Vi är inte ens den enda som märker det-några noterade säkerhetsproblem tillbaka till 2015 när Amazon Underground först lanserades.

När de ombads att kommentera, en Amazon talesman bekräftade att Tunnelbanan hade sedan dess installerats på “miljoner” för Android-enheter. Det är delvis eftersom vissa av Amazons egna apps för Android är endast tillgängliga via Amazon under jord, såsom Amazon Prime Video — bolagets konkurrent till Netflix.

Talesmannen tillade att “kunderna ska ta hand bara för att ladda ner innehåll från källor de litar på, som Amazon.”

Men det är inte Amazons app store som är problemet-det är jätte hål du har att stämpla i Android säkerhet att få den installerad i första hand.

amazon-second-lede.png

(Skärmdumpar: ZDNet/CBS Interactive)

Vi pratade med flera framstående säkerhet forskare och experter, och de är alla överens om att öppnandet av “okända källor” är ett dåligt drag för säkerhet.

Joshua Drake, VP Plattform för Forskning och Exploatering på Zimperium, som var krediteras med att hitta Stagefright bugg som drabbade miljontals Android-användare, sade att installera appar från okända källor är “en betydande källa av skadlig kod i androids ekosystem.”

Andrew Blaich, en säkerhetsforskare på Jakt, kommit överens om. Han sade: “Genom att tillåta okända källor, en användare är att ta bort den första raden i försvaret att stoppa sig från att installera en skadlig app som kan levereras från ett antal källor, bland annat skadlig webbplats länkar, phishing och andra som vi har sett hända i riktade attacker som ViperRat och andra större icke-riktade attacker.”

Chester Wisniewski, främsta forskare på it-företaget Sophos, sade i ett e-postmeddelande: “Det finns en hel del otäcka Android apps där ute och bara laddar ner appar från officiella källor är nyckeln till en säker mobil datoranvändning”, tillade han.

Vi kunde gå på och på, men du får idén.

Kampen om tillgång till app-butiker är inte ny. Eftersom mobila enheter och programvara beslutsfattare som Apple och Google få diktera villkor för vem som kan och inte kan få tillgång till deras plattformar, konkurrenter som Amazon kommer att ta att be sina kunder att i huvudsak avstå från viss säkerhet för att få tillgång till sin egen app store.

Och medan Android har alltid varit mer öppen plattform för appar och spel jämfört med iPhones och iPads, som har byggt upp ett rykte för säkerhet tack vare Apples strikta app store krav och kontroll koden, som är snart på väg att ändras. Drake läggas till i sin e-post att Googles kommande Android-O kommer att göra det möjligt för tredje part app-butiker utan att kräva filt tillgång till hela telefonen, faktiskt gör det svårare för skadlig programvara att installera.

När nått, Google inte skulle kommentar på posten.

Amazons app store för närvarande har 800 000 appar, tack vare bolagets incitamentsprogram till utvecklare att lämna in sina appar. Bolaget sade förra månaden att även om det är att stänga ner sin namne developer program, som gör det möjligt miljontals Amazon Underground-användare att ladda ner appar och spel gratis, app store i sig är “inte gå bort” någon gång snart.

Med tanke på de säkerhetsrisker, din bästa insats är att avinstallera appen — pronto — och stäng av okända källor.” Allt annat är att sätta dig i riskzonen.

Kontakta mig ordentligt

Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

ZDNET UTREDNINGAR

AMERIKANSKA regeringen drivit tech företag att lämna över källkoden

Vid den AMERIKANSKA gränsen, förväntar diskriminering, frihetsberövande, husrannsakan och förhör

Läckt: TSA-dokument avslöjar flygplatsen i New York våg av säkerhet upphör

Möta den mörka tech mäklare att leverera dina data till NSA

Trump medhjälpare’ användning av krypterade meddelanden kan eventuellt bryta mot de poster lag

Ett lån utan säkerhet databas lämnar off-the-grid energi utsatta kunder

Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner

Säkerhetsbrister i Pentagon servrar “sannolikt” är under attack av hackare

Avslöjat: Hur en Amazon Kindle bluff gjort miljontals dollar

AMERIKANSKA regeringen underleverantör läckage av konfidentiell militär personal data