Mae toriad diogelwch mawr wedi arwain at greu cymwysiadau malware "ymddiried" a all gael mynediad i'r system weithredu gyfan Android. Mae dyfeisiau gan Samsung, LG a gweithgynhyrchwyr eraill yn agored i niwed.
Fel y nodwyd gan arbenigwr diogelwch a datblygwr Lukasz Siwierski, menter diogelwch Google Android Menter Agored i Niwed Partner (APVI) yn gyhoeddus datgelodd hi camfanteisio newydd sy'n gwneud dyfeisiau gan Samsung, LG, Xiaomi a gweithgynhyrchwyr eraill yn agored i niwed. Craidd y broblem yw bod y gwneuthurwyr hyn wedi gollwng eu bysellau arwyddo ar gyfer Android. Defnyddir yr allwedd arwyddo i sicrhau bod y fersiwn Androidu rhedeg ar eich dyfais yn gyfreithlon, a grëwyd gan y gwneuthurwr. Gellir defnyddio'r un allwedd hefyd i lofnodi ceisiadau unigol.
Android fe'i cynlluniwyd i ymddiried mewn unrhyw raglen a lofnodwyd gyda'r un allwedd a ddefnyddir i lofnodi'r system weithredu ei hun. Gallai haciwr gyda'r allweddi llofnodi cymhwysiad hyn ddefnyddio'r system "Rhannu ID defnyddiwr". Androidu i roi caniatâd lefel system llawn i'r malware ar y ddyfais yr effeithir arni. Byddai hyn yn caniatáu i ymosodwr gael mynediad at yr holl ddata ar y ddyfais yr effeithir arni.
Photo Gallery
Mae'n werth nodi nad yw'r bregusrwydd hwn yn digwydd yn unig wrth osod cymhwysiad newydd neu anhysbys. Ers yr allweddi hyn wedi gollwng AndroidMewn rhai achosion, defnyddir arwyddo cymwysiadau cyffredin hefyd, gan gynnwys y cymhwysiad Bixby ar rai ffonau Galaxy, gallai ymosodwr ychwanegu malware i gais dibynadwy, llofnodi'r fersiwn maleisus gyda'r un allwedd, a Android Byddai ymddiried ynddo fel "diweddariad". Byddai'r dull hwn yn gweithio p'un a yw'r app yn dod yn wreiddiol o siopau Google Play a Galaxy Storio neu wedi'i ochr-lwytho.
Yn ôl Google, y cam cyntaf i ddatrys y broblem yw i'r cwmni yr effeithir arno ddisodli (neu "droi") eu rhai nhw androidallweddi arwyddo ov. Yn ogystal, mae'r cawr meddalwedd wedi annog pob gwneuthurwr ffôn clyfar gyda'i system i leihau'n sylweddol amlder defnyddio allweddi i lofnodi apiau.
Gallech fod â diddordeb mewn
Dywed Google, ers i'r mater gael ei riportio ym mis Mai eleni, fod Samsung a'r holl gwmnïau eraill yr effeithiwyd arnynt eisoes wedi "cymryd mesurau unioni i leihau effaith y toriadau diogelwch mawr hyn ar ddefnyddwyr." Fodd bynnag, nid yw'n gwbl glir beth yn union y mae hyn yn ei olygu, fel rhai o'r allweddi bregus yn ôl y safle APKMirror yn y dyddiau diweddaf arferai v androidCeisiadau Samsung.
Nododd Google fod y ddyfais gyda Androidem cael eu hamddiffyn rhag y bregusrwydd hwn mewn sawl ffordd, gan gynnwys nodwedd diogelwch Google Play Protect. Ychwanegodd nad oedd y camfanteisio yn cyrraedd apiau a ddosberthir trwy siop Google Play.
Mor agored i niwed fel na ddigwyddodd dim i ki yn ei bywyd. Dim ond bullshit yw hyn.