Závažná chyba v Androidu opravena

Myslím, že vhodnější by byl titulek "neopravena". Jinak další info tady.

Ja by som povedal, ze zase bububu pre nic extra.
Uznavam, ze chyba je to zavazna, ale aka je jej vyuzitelnost v praxi?
Klasicke droidove zariadenie ma zakazane instalovat ine aplikacie ako tie z marketu, takze sanca sa nakazit je minimalna. Skodliva aplikacia by sa musela prepasovat na market, co je sice mozne, ale pomerne obtiazne.
Skodlivu aplikaciu si musime nainstalovat a k tomu musime mat nejaky dovod. CIze musi byt popularna, musi nas pre nieco lakat, co je v rozpore s predchadzajucim bodom.
ZNeuzitelnost v praxi? Miziva.

Jiste, je to zavazna chyba s malou praktickou zneuzitelnosti, jinak jsem to pochopil tak, ze Google implementoval primo do aplikace Google Play kod, ktery uz ty podpisy kontroluje spravne a teda pres Google Play ke zneuziti nedojde, nicmene v systemu ta chyba je a pokud nekdo instaluje mimo Google Play ke zneuziti dojit muze. nejsou to jen pirati, tem bych to klidne pral, ale jsou i nezavisle story aplikaci, nehlede na to, ze ne vsechny aplikace jsou na Google Play, nebot Google tam nektere aplikace nechce a smazal je odtamtud.

Google nič neimplementoval do google play,opravu implementoval do android systému ten než bude oficiálne dostupný pre širokú paletu rôznych typov smartphone/tablet zariadení prejde velmi dlhý čas.....
...napr.čínske zariadenia,ktoré kým sa dostanú cez oficiálne kanály do cz/sk,už dávno výrobca obvykle prestal vyrábať a podporovať,tam čakať na nejakú aktualizáciu je ilúzia,rovnako ako noname lacáky z alibaba/aliexpress a podobných nákupných serverov,takisto rôzne yarvik a spol tablety,ktoré ani ako nové nemajú certifikovanú google podporu...

Google Play a ochrana Verify Apps prítomná na Android zariadeniach boli podľa spoločnosti aktualizované a momentálne poskytujú ochranu proti tejto zraniteľnosti.

Souhlasím,

s těma aktualizacema je Android opravdu zaostalý, teda aspoň u většiny výrobců až na Google a jeho Nexus.

No Android prave zaostalej neni, zaostali jsou vyrobci hardwaru (smartphonu), kteri ty aktualizace ignoruji.

Problém je v tom, že Android nemá licence v pravém slova smyslu, tedy výrobce nic netlačí cokoli implementovat. Korejec nebo Číňan je spokojený, že mu to "nějak" funguje, Google je spokojen, protože chybu ve zdrojácích opravil, jen ten user koncového zařízení je jak nahatej v trní. Sám nemůže nic, protože zdrojáky jsou mu k ničemu a výrobce (v honbě za co nejnižšími náklady, protože masivní konkurence) na updaty prdí. To je jednoznačně chyba návrhu platformy (obchodního modelu) a může za to Google, protože netlačí na výrobce, aby patch vydali, přeneseně je to zaostalost platformy jako takové.

V tomto ohledu je MS přístup daleko čistější a bezpečnější, ačkoli se jedná o closed-source (který je jinak obecně méně bezpečný).

přesně tak.

MS přístup daleko čistější a bezpečnější

MS neoveruje podpisy nicoho, t.j. z principu ma MS tuto "dieru" uz by design a povazuje to za OK.

myšlen byl WP..

Pomerne vyrazne se mylis, tim, ze je WP closed-source, tak nikdo zdrojovy kod neproveri a na MS neni zdaleka vyvijen takovy tlak, aby chyby opravoval.
Google nema zadnou paku na to, aby tlacil na vyrobce hardwaru, coz ale neni problem Googlu, ale zakazniku, kteri tu paku maji "telefony od neschopnych vyrobcu nekupovat", ale nevyuzivaji ji. Jinak navrh platformy ci obchodniho modelu je nejlepsi co je momentalne dostupne. Umoznuje totiz zapojeni komunity, takze napriklad smartphony s CyanoGenMod opravu maji, coz je porad lepsi nez kdyz se budes muset spolehat na MS a zname jejich pristup z PC.

ok, kolik výrobců tedy ten Android reálně patchuje, globálně a u všech svých modelů?

Vtip je hlavne v tom, ze tam neni co patchovat :) Na rozdiel od podaktorych inych "poskytovatelov softwaru" :)

P.S. ukaz mi teda kde je skryty ten bubak "skodliva aplikacia" podpisana ako google alebo adobe, lebo ja nejak si neviem predstavit odkial mi ma ten bubak skocit do telefonu Na android markete predsa tie podpisy pred zverejnenim overi samotne google.

1. není to první díra v Androidu
2. to, že je něco na Google Play a podepsáno Googlem, ještě neznamená, že to není škodlivý SW. Zrovna o Googlu se dost často mluví v tom smyslu, že ty aplikace v podstatě neprověřuje. Kdo mi zaručí, že aplikace, která normálně funguje a potřebuje přístup k netu si např. za půl roku od uvedení (tj. v době, kdy už prošla certifikací a nebyla shledána závadnou) nezačne stahovat ze serveru útočníka kód, kterým by pak mohla prolomit zabezpečení OS?

prescanovat digitalne podpisy neni problem kedykolvek moze to urobit google u seba, nemusis kvoli tomu nic patchovat.

ještě jednou: pochopil-li jsem dobře, stačí, abych na google play umístil SW, který kromě své primární funkce bude mít ještě funkci "droppera", kdy např. po 6 měsících uživateli sdělí: potřebuju aktualizovat komponentu xy a stáhne sice komponentu xy, ale ne z google play, ale podvržený malware z webu útočníka, který bude mít falšovaný elektronický podpis. Jediná "brzda" je nastavení důvěry jiným zdrojům SW v nastavení OS. A co si budeme povídat, Android je pirátská platforma, kde se rootuje, instalují gamesky z uložto atd. Když jsem naposledy komusi sdělil, že jsem na google play něco koupil, tak si dotyčný ťukal na čelo s tím, že to přece "roste" na uložto..

Tak asi tak.

root nema s piraty nic co delat a pridelovani administratorskych prav probiha tak, ze muzu zakazat, povolit jednorazove, povolit na 10 minut nebo povolit trvale, takze kazdy vidi co ho o root zada.

jedine dobre pokud piratum nejaky hacker nabori foun, kdyz jim to "roste" na uloz.to.

BTW. to co sa deje je pozitivna vec pre android tym ze sa v tom vrtaju vsetci kdejaki hackeri apod uplne do poslednej teoretickej moznosti napadnutia, ci uz si to objednal google alebo neviem kto a preco, ale je to pozitivna vec, ze sa aj uplne najposlednejsie a najnepravdepodobnejsie moznosti napadnutia odstrania (co sa ale nemusi riesit okamzite, ptz to su len teoreticke moznosti, ale hlavne ze novinari maju o com placat nezmysly).
Takato pozitivna vec sa ale nedeje u MS ani inych closed source systemov, kde mozes mat tych dier trilion a nebudes to vediet nikdy, az ked ti vir napise na display ze ahoj ja som bubak a uz som tu

je i pozitivní věc, jestli se ta hračka dokáže sama aktualizovat, nebo bude čekat na číňance?

Pozitivne je prave to, ze sa NEdokaze sama aktualizovat (a vobec nemozes zmenit kernel nijak ani omylom ak nie si root, to je na tom najpozitivnejsie).
P.S> chapem ze pre ludstvo krmene 30rokov MS srackami je to nepochopitelne, ale co uz.

co už s náma naděláš.

takže pokud se zjistí chyba ohrožující os, tak je v podstatě andy v pihely.

Prave kvoli tomu ze neni mozne aby sa tam samo cosi prepisovalo sa ani nezisti ziadna "chyba ohrozujici OS", ptz neni jak ho ohrozit. Zakladatelia google su velmi bystri ludia. V prdeli je prave ten system ktory sme mali doteraz.

viz. název článku. mm buď soudný a vzpomeň si na vtip, kdy programátor napíše jeden řádek kódu. buď je to chyba nebo ne. já teda vtipy povídat neumím, tak se nezlob.

Nazev clanku je nezmysel.

vždycky jsou dveře do léta.

Samozrejme vyrobca HW dal do menu Nastavenia polozku na update firmware, aktivuje sa rucne a updatuje sa len ak vyrobca HW nejaky novsi firmware vydal, co je tiez pozitivne (ze nemoze kto chce co chce prepisovat kedy chce)

nikdy jsem nic takového nezaznamenal.

1. není to první díra v Androidu

Co rok to jedna chyba, loni byla taky JEDNA. Myslim, ze MS muze jen tise zavidet.

hm.. bavíme se o desktopovém OS, nebo Windows Phone?

To je uplne jedno, jediny rozdil, ze MS u desktopoveho OS opravuje bezpecnostni chyby casteji, hlavne je jich vic odhaleno diky masovemu rozsireni a ted si predstav, ze WP pouziva par procent lidi a bezpecnostni firmy se na nej nijak nezameruji + je to closed-source, to bude derave jak cednik.

měl jsem tu čest bavit se s osekaným windows ce v osciloskopu, s vyvedeným usb.
docela sranda zablokovat tomu autorun*, ať se to ce svinstvo po vložení flashky automaticky nezaviruje.
není žádný důvod spoléhat, že 4% potrat wp bude lepší/bezpečnější.
*)

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d @SYS:DoesNotExist /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v Description /d "virovy ojeb" /f

To je uplne jedno, jediny rozdil, ze MS u desktopoveho OS opravuje bezpecnostni chyby casteji

To samozřejmě jedno není, rozdíl mezi full-feature OS pro desktop a zásadně seřízlým OS pro mobily (a je fuk, jestli to je Android nebo WP) je dost velký.

WP pouziva par procent lidi a bezpecnostni firmy se na nej nijak nezameruji + je to closed-source, to bude derave jak cednik.

A to máš podloženo nějakou statistikou, nebo je to jen zbožné přání?

Az bude nejaka fakt nebezpecna diera, potom sa mozme bavit o tom kto a jak ju opatchoval (da sa to potom teoreticky mozno riesit aj nejakym patchovanim nejakych binariek mozno aj na cinskych smejdoch), ale zatial som ziadnu skutocne nebezpecnu dieru nezachytil, tak neviem co mal kto patchovat

Mam android, nemam opravu, a nic ma neohrozuje.

P.S. normalne sa trasiem az som sa pokakal z toho jaky som ohrozeny :)

Škodlivá aplikácia sa tak následne môže vydávať za aplikáciu vydanú Adobe, Googleom a podobne.

Huh, nějak nerozumím nastolené rétorice:

Desktop:
Linux: 1 procento: jupí, jsme bezpeční, jsme příliš malí, aby na nás někdo psal viry
Windows: 85 procent: mega mastodont voe tuny chyb děravej jak síto furt jenom záplatujou neber to pyčo

Mobily:
Windows: 4 procenta: voe je to malý, nikomu to nestojí za opravu chyb, hekři po tom pudou a opravovat se to nebude, děravý jaxviňa jo a MS žere malý děti
Android: 70 procent: to je super že má tolik spousta lidí to používá a zkoumá, to nemůže bejt děravý a google to jsou sluníčkoví hustokrutopřísní týpci, ti to hned zalepí, co na tom, že rýžožrouti se na to vyserou, Linux rulez!

Co je nezrozumitelne na tom ze je ten OS v principe write protected a uvedena diera neni ziadna diera? Ja tu nevediem debaty typu je to cool lebo jurko to pouziva, podla mna je sracka vsetko, ale je to bezpecne a neni to derave, neni treba nic lepit, a nazov clanku neni pravda.

P.S. ja nerozumiem reotorike "bububububu sedi bubak pod stolom a bacha lebo skoci ti hned do mobilu okamzite zalepuj bububububu!" Jak sa ti ten bubak dostane do mobilu prosimta odkial? Na markete urcite falosne podpisy nebudu, to si moze google scanovat ob sekundu dookola vsetky app, tak skade? Fakt povazujes ludi v google za tak blbych? Co sa tyka samotneho jadra ludi v google tak je to vyvojarska spicka (sudiac podla toho jak vznikali a co doteraz dokazali)

Write protected byl/je třeba i Symbian.. jenže to neřeší to, že ten systém je zranitelný z pohledu aplikací.

Tys to vubec nepochopil, to preci neni vubec o tom, kolik ma kdo procent uzivatelu, ale o tom, ze architektura linuxu (potazmo i Androidu) nedovoluje vyrabet ty chyby jak na bezicim pasu, to je domena Windows a je uplne jedno, kolik kdo ma procent.

Vtip je prave v tom, ze na linux viry nebudou ani kdyz bude rozsirenej a prave Android je toho dukazem. Viz. zminena bezpecnostni chyba, o ktere se tu bavime a ktera presto, ze je na Androidu hodnocena jako zavazna, nema nejaky vyrazny dopad na uzivatele a pravdepodobnost, ze diky teto chybe bude naboren nejakemu uzivateli Android je pomerne mala.

Bavíme se celou dobu o mobilních OS a tedy postulát, že výroba chyb je doménou Windows a ne Linuxu/Androidu, je zcela mylný. Tomu se nedá ani říct, že srovnáváš hrušky s jabkama, ale spíš hrušky s bagrama. Windows Phone nemá (nemůže mít) nic z desktopových Windows, je tvořen úplně jinými lidmi (to není ani jiné oddělení v MS, to je prostě úplně jiná firma, která neví nic o desktopech, jen o dvacet levelů nad nimi sedí Nadella), dost často lidmi, které MS přetáhl právě z firem jako Google atp., aby dokázal vytvořit konkurenceschopný mobilní OS.

na linux viry nebudou ani kdyz bude rozsirenej a prave Android je toho dukazem

Android je důkazem leda toho, že jediná rozumná ochrana je uzavření systému (rozuměj před koncovými uživateli/BFU) - bez rootnutí telefonu opravdu není jak systém poškodit, stejně na to jde i WP. Věta "na linux viry nebudou ani kdyz bude rozsirenej" je krásně naivní.

Otazka je do jakej miery ma WP bezchybne urobeny intepreter a ochranu root prav z user modu. Vzhladom na to ze to je closed source a vzhladom na to ze MS v tomto nikdy nevynikal, by som sa neodvazoval tvrdit ze to je nepriestrelne, ja neviem ani ma WP nezaujima, oni nam kdejaki hackeri potom casom ukazu, ci tam su nejake diery :) U opensource systemu ten interpreter predpokladam uz preluskalo milion ludi nech tam nie su nejake neosetrene vstupy.

Jiste je to jen predpoklad, ale v tom je prave ta krasa open-source, my vime, ze to je bezpecne, protoze je to otevrene a je mozne do toho nahlednout, o closed-source WP nevime nic.

bez rootnutí telefonu opravdu není jak systém poškodit

Ono ale i s rootem nebo-li uzivatelem s administratorskym pristupem je to OK, protoze neznamemu programu ty administratorska prava jednoduse nepridelim. Mimochodem stejne je to od nepameti na linuxu, administratorska prava bezny uzivatel nema, dokonce byva administrator (root) primo zakazany a nelze se do nej prihlasit, muzes si jen docasne administratorska prava pridelit, (pokud znas heslo), proste to co zavedl MS od Windows 7 funguje v linuxu uz 20 let.

Tys to vubec nepochopil, to preci neni vubec o tom, kolik ma kdo procent uzivatelu, ale o tom, ze architektura linuxu (potazmo i Androidu) nedovoluje vyrabet ty chyby jak na bezicim pasu, to je domena Windows a je uplne jedno, kolik kdo ma procent.

můžu si to nechat zarámovat? větší kravinu jsem neslyšel, můžeme začít přímým přístupem do ram

Pokud vím, tak se to dá patchnout přes Xposed Framework, když máte root. Pro ty co si stěžují a brečí jak je to hrozné, že výrobce telefonu nevydal update jim tady házím link.

ano, směji se. k hovnu je to.