Comments 17
Это андроид, Это нормально.
-43
Тут раскопали в исходниках отлично. И то представьте, андроид использует большее кол-во пользователей чем iOS. А теперь представьте, что на айос выпустят приложение в котором где нить в нативном коде затеряется код использующих подобную дыру — и ведь хакеры смогут использовать эту дыру достаточно долго — т.к.в умелых руках эта дыра может быть долго не замеченной.
А тут дыру нашли вовсе не хакеры, а ислледователи. Т.е. любой человек умеющий читать код вполне может заняться проверкой и раскопать кучу дыр. В то время как на iOS хакеры могут пособирать 2 десятка дыр и по очереди их использовать, когда предыдущую фиксят.
И я так и не понял, эта штука может только смс отправлять или что? Я верно понимаю, что все девайсы до 4.2 мигом становятся уязвимы для этой проблемы? Вспоминаю размышления по поводу обновления от гугла — если бы гугл использовал аналог репозиториев в андроиде, то можно было бы тогда применить баг фикс ко всем версиям андроида и выкинуть в репозиторий обновленный пакет под разные версии.
А так выходит все девайсы подвержены. Официальный метод защиты — купить нексус4 на который скоро выйдет фикс. Ну либо шить 4.2.1 или как он там будет. Проблема чувствуется серьезная.
Кстати еще один плюс планшетам без 3G, телефон раздает только интернет, а большая часть софта на планшете будет. В итоге всякие смс посылаться не будут.
Хотя вот! Решение! Гугл же хотел сделать антивирус в маркете? Ну так значит можно просто блокировать приложения с данным эксплоитом. А сторонние установки — гугл и так предупреждает об их опасности.
А тут дыру нашли вовсе не хакеры, а ислледователи. Т.е. любой человек умеющий читать код вполне может заняться проверкой и раскопать кучу дыр. В то время как на iOS хакеры могут пособирать 2 десятка дыр и по очереди их использовать, когда предыдущую фиксят.
И я так и не понял, эта штука может только смс отправлять или что? Я верно понимаю, что все девайсы до 4.2 мигом становятся уязвимы для этой проблемы? Вспоминаю размышления по поводу обновления от гугла — если бы гугл использовал аналог репозиториев в андроиде, то можно было бы тогда применить баг фикс ко всем версиям андроида и выкинуть в репозиторий обновленный пакет под разные версии.
А так выходит все девайсы подвержены. Официальный метод защиты — купить нексус4 на который скоро выйдет фикс. Ну либо шить 4.2.1 или как он там будет. Проблема чувствуется серьезная.
Кстати еще один плюс планшетам без 3G, телефон раздает только интернет, а большая часть софта на планшете будет. В итоге всякие смс посылаться не будут.
Хотя вот! Решение! Гугл же хотел сделать антивирус в маркете? Ну так значит можно просто блокировать приложения с данным эксплоитом. А сторонние установки — гугл и так предупреждает об их опасности.
+6
Исследователи — это и есть хакеры. Просто у этих хакеров интерес другой.
+6
Вроде как делает только фэйковое сообщение без реальной отправки куда-либо.
0
Вот же было про ios и про фонарик отправляющий sms habrahabr.ru/company/pt/blog/155937/.
Никто не застрахован от ошибок и очень жаль, что google не обновляет Android как Chrome.
Никто не застрахован от ошибок и очень жаль, что google не обновляет Android как Chrome.
+2
Насколько я понял, SMS тут вообще не причём. Приложение кидает уведомление о «пришедшем SMS», которое открывает фейковое activity, внешне похожую на встроенное приложение SMS. По принципу работы это сродни всплывающему окну «ваш компьютер заражён, скачайте наш антивирус» в десктопном браузере. Никакой «уязвимости в исходных кодах» в этом нет, но не очень понятно, как этот способ можно устранить.
0
не похоже на фейковое activity. Скорее, они как-то имитируют получение SMS-ки, может сами и уведомление кидают, да, но открывается родное приложение для SMS-ок. Но, разумеется, ничего никуда не посылается — там в видео это явно подчеркивается, что в апарате нет SIM-карты.
0
Видимо дыра не в самом андроиде, а именно в приложении SMS сообщений. То есть к нему можно как то обратиться, чтобы оно подумало, что ему пришло сообщение. Думаю удаление встроенной программы и установка сторонней может решить проблему. Можно MIUI вовсе не подвержен.
0
Даже если поправят дырку в AOSP, то сколько же девайсов не получат обновлений? В Nexus/CyanogenMod/AOKP/ParanoidAndroid ясное дело пофиксят, но охват атаки немалый на самом деле будет.
Хотя тут больше социальная инженерия, чем какая-то явная уязвимость.
Хотя тут больше социальная инженерия, чем какая-то явная уязвимость.
+7
Мы все уже слышали про то что гугл может принудительно устанавливать/удалять приложения на устройстве пользователя. Но меня если честно просто коробит от того что все проблемы с безопасностью андроида решаются в «следующей версии». Может гуглу стоит попробовать выпустить патч к тому что есть? Да это заметно сложнее, надо будет делать патчи под вагон и маленькую тележку версий, возможно патчу придется еще и привелегии поднимать чтобы себя поставить. ^_^ Но ведь это репутация платформы, и если они хотят чтобы все больше людей ей пользовались, то может быть стоит о ней задуматься?
Предположим у меня есть планшет, который не получит официального обновление даже на 4.1, и телефон который застрял в 2.x эре. Это значит что безопасность платформы меня не интересует? Потом найдется в большинстве версий баг, где смогут читать мои смс, и в итоге очень хорошо таргетировать что и как мне слать, да и соц. сети выдают очень много чего о человеке, так что имхо недооценивать такую уязвимость не стоит. И если обычному человеку это все максимум означает потерю денег, то от некоторых сообщений, человеку со слабым сердцем может вообще стать плохо.
И ведь ладно бы один Google, так по сути почти все производили ОС грешат тем что фиксят проблемы в «новых версиях», забывая о том что мы живем в мире где поддержку «новых версий ОС» почти не обеспечивают производители телефонов.
Все больше обычных людей далеких от компьютера начинают использовать «умные» телефоны, причем в бюджетном сегменте дождаться обновлений ОС это вообще редкость, а какая нибудь бабушка не поймет, а зачем ей собственно ковыряться со скриптами чтобы поставить неофициальную прошивку (это если она вообще выйдет, эта прошивка). Возможно стоит перестать гоняться за тем чтобы делать телефон умнее (siri, google now, s voice), быстрее, и навешивать рюшечки на интерфейс. Возможно стоит подумать о обычных людях, которые приходят в магазин, покупают телефон, и хотят надежности, и безопасности. Может стоит задуматься о том как обезопасить систему от фишинга. Как показать пользователю что это сообщение пришло именно от того человека, который указан в адресате. Задуматься о безопасности, и социальной составляющей, а не интегривать 100500'ый клиент социальных сетей, и добавлять рюшечек к интерфейсу чтобы оправдать использование 4 ядерного процессора.
Предположим у меня есть планшет, который не получит официального обновление даже на 4.1, и телефон который застрял в 2.x эре. Это значит что безопасность платформы меня не интересует? Потом найдется в большинстве версий баг, где смогут читать мои смс, и в итоге очень хорошо таргетировать что и как мне слать, да и соц. сети выдают очень много чего о человеке, так что имхо недооценивать такую уязвимость не стоит. И если обычному человеку это все максимум означает потерю денег, то от некоторых сообщений, человеку со слабым сердцем может вообще стать плохо.
И ведь ладно бы один Google, так по сути почти все производили ОС грешат тем что фиксят проблемы в «новых версиях», забывая о том что мы живем в мире где поддержку «новых версий ОС» почти не обеспечивают производители телефонов.
Все больше обычных людей далеких от компьютера начинают использовать «умные» телефоны, причем в бюджетном сегменте дождаться обновлений ОС это вообще редкость, а какая нибудь бабушка не поймет, а зачем ей собственно ковыряться со скриптами чтобы поставить неофициальную прошивку (это если она вообще выйдет, эта прошивка). Возможно стоит перестать гоняться за тем чтобы делать телефон умнее (siri, google now, s voice), быстрее, и навешивать рюшечки на интерфейс. Возможно стоит подумать о обычных людях, которые приходят в магазин, покупают телефон, и хотят надежности, и безопасности. Может стоит задуматься о том как обезопасить систему от фишинга. Как показать пользователю что это сообщение пришло именно от того человека, который указан в адресате. Задуматься о безопасности, и социальной составляющей, а не интегривать 100500'ый клиент социальных сетей, и добавлять рюшечек к интерфейсу чтобы оправдать использование 4 ядерного процессора.
+11
По большому счету, все девайсы кроме нексусов не находятся под властью гугла на самом деле. То есть тут надо грешить на производителей.
В то же время я думаю, что все кроме Nexus One получат этот фикс. Даже возможно, что гугл такую дыру и для Nexus One закроет. С другой стороны nexus one вышел с разницей в пол года с iPhone 3gs под который сейчас тоже обновлений не идет вовсе (поправьте если не так)
В то же время я думаю, что все кроме Nexus One получат этот фикс. Даже возможно, что гугл такую дыру и для Nexus One закроет. С другой стороны nexus one вышел с разницей в пол года с iPhone 3gs под который сейчас тоже обновлений не идет вовсе (поправьте если не так)
0
Ну до iOS 6 апдейт то получил. Просто имхо, может стоит производителям мобильных осей задуматься о возможности автоматически выдавать пользователям патчи. Просто одно дело апдейт до последней оси, где все вроде пофиксено, а другое маленький патч, который фиксит баг отдельного сервиса. (конечно отладку багов это несколько усложнит, но будет при баге отсылаться еще и версия отдельных корневых сервисов, которые могут быть обновлены сами по себе, и будет всем счастье). А то получается что телефону 3 года, а про исправление уязвимостей можно забыть. Я же не требую повесить на все Android 4.2+, а всего лишь хотелось бы видеть фикс достаточно небольших багов связанных с безопасностью хотя бы.
Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально).
Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально).
+1
«Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально). „
— ответ прост, телефон через год-три года может уже уйти с прилавков. Например Nexus One не поддерживается и он же не продается.
А вот Starcraft первый вроде как близард до сих пор продает.
ответ PapaBubaDiop: официально? Я слышал что вроде 6.0 не вышел, но погуглил оказалось вроде офиц вышел норм. А вот 6.1 говорили что не будет. Если не официально — то и на HTC G1 можно 4.1 поставить :)
— ответ прост, телефон через год-три года может уже уйти с прилавков. Например Nexus One не поддерживается и он же не продается.
А вот Starcraft первый вроде как близард до сих пор продает.
ответ PapaBubaDiop: официально? Я слышал что вроде 6.0 не вышел, но погуглил оказалось вроде офиц вышел норм. А вот 6.1 говорили что не будет. Если не официально — то и на HTC G1 можно 4.1 поставить :)
-1
Нельзя пропатчить чужой андроид. Например, в прошивках Acer используется другая база адресов для загрузки системных библиотек. Это значит, что ни одна либа собранная из официальных исходников там не заработает.
+1
iPhone 3gs прекрасно живет на последней 6.0.1 или девелоперской 6.1.
+2
Sign up to leave a comment.
Фишинг в Android