Comments 17
Это андроид, Это нормально.
Тут раскопали в исходниках отлично. И то представьте, андроид использует большее кол-во пользователей чем iOS. А теперь представьте, что на айос выпустят приложение в котором где нить в нативном коде затеряется код использующих подобную дыру — и ведь хакеры смогут использовать эту дыру достаточно долго — т.к.в умелых руках эта дыра может быть долго не замеченной.
А тут дыру нашли вовсе не хакеры, а ислледователи. Т.е. любой человек умеющий читать код вполне может заняться проверкой и раскопать кучу дыр. В то время как на iOS хакеры могут пособирать 2 десятка дыр и по очереди их использовать, когда предыдущую фиксят.
И я так и не понял, эта штука может только смс отправлять или что? Я верно понимаю, что все девайсы до 4.2 мигом становятся уязвимы для этой проблемы? Вспоминаю размышления по поводу обновления от гугла — если бы гугл использовал аналог репозиториев в андроиде, то можно было бы тогда применить баг фикс ко всем версиям андроида и выкинуть в репозиторий обновленный пакет под разные версии.
А так выходит все девайсы подвержены. Официальный метод защиты — купить нексус4 на который скоро выйдет фикс. Ну либо шить 4.2.1 или как он там будет. Проблема чувствуется серьезная.
Кстати еще один плюс планшетам без 3G, телефон раздает только интернет, а большая часть софта на планшете будет. В итоге всякие смс посылаться не будут.
Хотя вот! Решение! Гугл же хотел сделать антивирус в маркете? Ну так значит можно просто блокировать приложения с данным эксплоитом. А сторонние установки — гугл и так предупреждает об их опасности.
А тут дыру нашли вовсе не хакеры, а ислледователи. Т.е. любой человек умеющий читать код вполне может заняться проверкой и раскопать кучу дыр. В то время как на iOS хакеры могут пособирать 2 десятка дыр и по очереди их использовать, когда предыдущую фиксят.
И я так и не понял, эта штука может только смс отправлять или что? Я верно понимаю, что все девайсы до 4.2 мигом становятся уязвимы для этой проблемы? Вспоминаю размышления по поводу обновления от гугла — если бы гугл использовал аналог репозиториев в андроиде, то можно было бы тогда применить баг фикс ко всем версиям андроида и выкинуть в репозиторий обновленный пакет под разные версии.
А так выходит все девайсы подвержены. Официальный метод защиты — купить нексус4 на который скоро выйдет фикс. Ну либо шить 4.2.1 или как он там будет. Проблема чувствуется серьезная.
Кстати еще один плюс планшетам без 3G, телефон раздает только интернет, а большая часть софта на планшете будет. В итоге всякие смс посылаться не будут.
Хотя вот! Решение! Гугл же хотел сделать антивирус в маркете? Ну так значит можно просто блокировать приложения с данным эксплоитом. А сторонние установки — гугл и так предупреждает об их опасности.
Исследователи — это и есть хакеры. Просто у этих хакеров интерес другой.
Вроде как делает только фэйковое сообщение без реальной отправки куда-либо.
Вот же было про ios и про фонарик отправляющий sms habrahabr.ru/company/pt/blog/155937/.
Никто не застрахован от ошибок и очень жаль, что google не обновляет Android как Chrome.
Никто не застрахован от ошибок и очень жаль, что google не обновляет Android как Chrome.
Насколько я понял, SMS тут вообще не причём. Приложение кидает уведомление о «пришедшем SMS», которое открывает фейковое activity, внешне похожую на встроенное приложение SMS. По принципу работы это сродни всплывающему окну «ваш компьютер заражён, скачайте наш антивирус» в десктопном браузере. Никакой «уязвимости в исходных кодах» в этом нет, но не очень понятно, как этот способ можно устранить.
не похоже на фейковое activity. Скорее, они как-то имитируют получение SMS-ки, может сами и уведомление кидают, да, но открывается родное приложение для SMS-ок. Но, разумеется, ничего никуда не посылается — там в видео это явно подчеркивается, что в апарате нет SIM-карты.
Даже если поправят дырку в AOSP, то сколько же девайсов не получат обновлений? В Nexus/CyanogenMod/AOKP/ParanoidAndroid ясное дело пофиксят, но охват атаки немалый на самом деле будет.
Хотя тут больше социальная инженерия, чем какая-то явная уязвимость.
Хотя тут больше социальная инженерия, чем какая-то явная уязвимость.
Мы все уже слышали про то что гугл может принудительно устанавливать/удалять приложения на устройстве пользователя. Но меня если честно просто коробит от того что все проблемы с безопасностью андроида решаются в «следующей версии». Может гуглу стоит попробовать выпустить патч к тому что есть? Да это заметно сложнее, надо будет делать патчи под вагон и маленькую тележку версий, возможно патчу придется еще и привелегии поднимать чтобы себя поставить. ^_^ Но ведь это репутация платформы, и если они хотят чтобы все больше людей ей пользовались, то может быть стоит о ней задуматься?
Предположим у меня есть планшет, который не получит официального обновление даже на 4.1, и телефон который застрял в 2.x эре. Это значит что безопасность платформы меня не интересует? Потом найдется в большинстве версий баг, где смогут читать мои смс, и в итоге очень хорошо таргетировать что и как мне слать, да и соц. сети выдают очень много чего о человеке, так что имхо недооценивать такую уязвимость не стоит. И если обычному человеку это все максимум означает потерю денег, то от некоторых сообщений, человеку со слабым сердцем может вообще стать плохо.
И ведь ладно бы один Google, так по сути почти все производили ОС грешат тем что фиксят проблемы в «новых версиях», забывая о том что мы живем в мире где поддержку «новых версий ОС» почти не обеспечивают производители телефонов.
Все больше обычных людей далеких от компьютера начинают использовать «умные» телефоны, причем в бюджетном сегменте дождаться обновлений ОС это вообще редкость, а какая нибудь бабушка не поймет, а зачем ей собственно ковыряться со скриптами чтобы поставить неофициальную прошивку (это если она вообще выйдет, эта прошивка). Возможно стоит перестать гоняться за тем чтобы делать телефон умнее (siri, google now, s voice), быстрее, и навешивать рюшечки на интерфейс. Возможно стоит подумать о обычных людях, которые приходят в магазин, покупают телефон, и хотят надежности, и безопасности. Может стоит задуматься о том как обезопасить систему от фишинга. Как показать пользователю что это сообщение пришло именно от того человека, который указан в адресате. Задуматься о безопасности, и социальной составляющей, а не интегривать 100500'ый клиент социальных сетей, и добавлять рюшечек к интерфейсу чтобы оправдать использование 4 ядерного процессора.
Предположим у меня есть планшет, который не получит официального обновление даже на 4.1, и телефон который застрял в 2.x эре. Это значит что безопасность платформы меня не интересует? Потом найдется в большинстве версий баг, где смогут читать мои смс, и в итоге очень хорошо таргетировать что и как мне слать, да и соц. сети выдают очень много чего о человеке, так что имхо недооценивать такую уязвимость не стоит. И если обычному человеку это все максимум означает потерю денег, то от некоторых сообщений, человеку со слабым сердцем может вообще стать плохо.
И ведь ладно бы один Google, так по сути почти все производили ОС грешат тем что фиксят проблемы в «новых версиях», забывая о том что мы живем в мире где поддержку «новых версий ОС» почти не обеспечивают производители телефонов.
Все больше обычных людей далеких от компьютера начинают использовать «умные» телефоны, причем в бюджетном сегменте дождаться обновлений ОС это вообще редкость, а какая нибудь бабушка не поймет, а зачем ей собственно ковыряться со скриптами чтобы поставить неофициальную прошивку (это если она вообще выйдет, эта прошивка). Возможно стоит перестать гоняться за тем чтобы делать телефон умнее (siri, google now, s voice), быстрее, и навешивать рюшечки на интерфейс. Возможно стоит подумать о обычных людях, которые приходят в магазин, покупают телефон, и хотят надежности, и безопасности. Может стоит задуматься о том как обезопасить систему от фишинга. Как показать пользователю что это сообщение пришло именно от того человека, который указан в адресате. Задуматься о безопасности, и социальной составляющей, а не интегривать 100500'ый клиент социальных сетей, и добавлять рюшечек к интерфейсу чтобы оправдать использование 4 ядерного процессора.
По большому счету, все девайсы кроме нексусов не находятся под властью гугла на самом деле. То есть тут надо грешить на производителей.
В то же время я думаю, что все кроме Nexus One получат этот фикс. Даже возможно, что гугл такую дыру и для Nexus One закроет. С другой стороны nexus one вышел с разницей в пол года с iPhone 3gs под который сейчас тоже обновлений не идет вовсе (поправьте если не так)
В то же время я думаю, что все кроме Nexus One получат этот фикс. Даже возможно, что гугл такую дыру и для Nexus One закроет. С другой стороны nexus one вышел с разницей в пол года с iPhone 3gs под который сейчас тоже обновлений не идет вовсе (поправьте если не так)
Ну до iOS 6 апдейт то получил. Просто имхо, может стоит производителям мобильных осей задуматься о возможности автоматически выдавать пользователям патчи. Просто одно дело апдейт до последней оси, где все вроде пофиксено, а другое маленький патч, который фиксит баг отдельного сервиса. (конечно отладку багов это несколько усложнит, но будет при баге отсылаться еще и версия отдельных корневых сервисов, которые могут быть обновлены сами по себе, и будет всем счастье). А то получается что телефону 3 года, а про исправление уязвимостей можно забыть. Я же не требую повесить на все Android 4.2+, а всего лишь хотелось бы видеть фикс достаточно небольших багов связанных с безопасностью хотя бы.
Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально).
Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально).
«Почему Starcraft вышедший в 1998 году, получает патчи в 2009. А телефон чаще всего через год получает последний апдейт (в случае с апплом года 3, с гуглом 2,5-3, с остальными все печально). „
— ответ прост, телефон через год-три года может уже уйти с прилавков. Например Nexus One не поддерживается и он же не продается.
А вот Starcraft первый вроде как близард до сих пор продает.
ответ PapaBubaDiop: официально? Я слышал что вроде 6.0 не вышел, но погуглил оказалось вроде офиц вышел норм. А вот 6.1 говорили что не будет. Если не официально — то и на HTC G1 можно 4.1 поставить :)
— ответ прост, телефон через год-три года может уже уйти с прилавков. Например Nexus One не поддерживается и он же не продается.
А вот Starcraft первый вроде как близард до сих пор продает.
ответ PapaBubaDiop: официально? Я слышал что вроде 6.0 не вышел, но погуглил оказалось вроде офиц вышел норм. А вот 6.1 говорили что не будет. Если не официально — то и на HTC G1 можно 4.1 поставить :)
Нельзя пропатчить чужой андроид. Например, в прошивках Acer используется другая база адресов для загрузки системных библиотек. Это значит, что ни одна либа собранная из официальных исходников там не заработает.
iPhone 3gs прекрасно живет на последней 6.0.1 или девелоперской 6.1.
Sign up to leave a comment.
Фишинг в Android