Bluebox研究人员发现的有关Android Master Key错误的早期报告声称,高达99%的所有Android设备都可能受到攻击。 后来的报告大步回溯,指出只有关闭了阻止从不受信任的源安装应用程序的功能的用户才可能受到影响。 没有人对吧? 在他的Black Hat演示中,Bluebox的Jeff Forristal解释说,这并不那么简单。
Forristall演讲的主要目的是详细解释Master Key漏洞。 他还报告了其他一些相关的错误,这些错误可能允许修改应用程序而不会影响Android验证过程。 其中大多数涉及Android内部不同ZIP文件解析模块之间的差异。
共同的智慧?
在演示的结尾,Forristall解决了有关以下问题的争论:几乎所有用户都受到禁止安装来自不受信任来源的应用程序的设置的保护。 “'每个人都知道',没有用户更改'允许不受信任的来源'设置,” Forristall说。 “真的吗?这些数据从哪里来?” 这些报告没有引用消息来源。
每当有人运行扫描时,Bluebox Security Scanner就会将完全匿名的遥测数据报告回Bluebox。 遥测中包括的一项内容是是否将设备设置为允许来自不受信任来源的应用。
Forristall挑战观众,以25%的增量猜测有多少用户关闭了对不受信任来源的保护。 我猜到了50%到75%的得分。 “有多少用户允许不受信任的来源?” 福里斯塔尔问。 “ 69%的人放弃了开关!”
他指出样本仅占百万用户的四分之一。 福里斯塔尔说:“我觉得这个数字高达69%,这可能是由于我们的抽样人群造成的。我希望看到这个数字是10或1亿。即使接近20%,它仍然很大,还要大得多比那些“专家”认为的要好。”
为什么这么高?
Forristall指出:“有很多原因促使用户禁用此保护。” “这不仅适用于盗版应用程序。例如,Amazon Appstore为确保其不含恶意软件做了很多工作,但如果将其放在非Amazon设备上,安装的第一步是允许其他来源的应用程序而不是Google Play。企业需要针对自己的BYOD和MDM解决方案进行调整,并发布内部应用。”
Forristall总结道:“有很多令人信服的理由来更改该设置,一旦他们更改了,它就不会退缩。” 当然,这是某些专家用来预测没有用户会首先进行更改的论点,这是太多的工作。
从理论上讲,如果您除了Google Play以外任何地方都没有其他应用程序,则该设置是无关紧要的,但是为什么要冒险? 如果我是Android用户,则绝对可以禁止不可信的应用程序源。
