Závažná chyba v Androidu opravena
Bezpečnostní díra Fake ID ohrožuje miliardy zařízení s Androidem
Firma BlueBox dokončila svou zprávu v březnu a o výsledcích 31. března informovala Google. Ten reagoval pohotově a připravil opravu, kterou následně rozeslal výrobcům zařízení a publikoval záplatu do AOSP (Android Open Source Project). Výrobci měli devadesát dnů na vydání bezpečnostních záplat – teprve poté hodlala firma BlueBox prezentovat svá zjištění veřejně.
Výzkumníci z BlueBoxu ještě před publikováním zprávy otestovali 40 zařízení se systémem Android a zjistili, že opravu zatím uvolnil pouze jediný výrobce.
---
Pry opravu uvolnila Motorola. Jinak tohle je excelentni ukazka toho, jak je Android skvelej a bezpecnej system a zaroven toho, jak spatna je situace, kdy vam vyrobu ovladaji ruzni ti tamtungove, cinatongove a jim podobni. Kdyz se neco podobneho stane na Windows Phone, tak o chybe bude vedet akorat hacker a s pristupem Microsoftu, ktery zname z desktopovych Windows se uzivatele opravy dockaji za 2 roky, u Androidu mate opravu temer okamzite po zjisteni, ale bohuzel korejec, cinan a japonec na to tradicne z vysoka kasle. Takze jedine instalovat CyanoGenMod a podobne uzivatelske ROM, ktere chybu okamzite taky zapracuji, pokud jsou pro vas pristroj k dispozici. Bohuzel pro muj Huawei Horor 2 uz zadna oprava nikdy nevyjde ani customROM k dispozici neni, takze mam smolika.
Huh, nějak nerozumím nastolené rétorice:
Desktop:
Linux: 1 procento: jupí, jsme bezpeční, jsme příliš malí, aby na nás někdo psal viry
Windows: 85 procent: mega mastodont voe tuny chyb děravej jak síto furt jenom záplatujou neber to pyčo
Mobily:
Windows: 4 procenta: voe je to malý, nikomu to nestojí za opravu chyb, hekři po tom pudou a opravovat se to nebude, děravý jaxviňa jo a MS žere malý děti
Android: 70 procent: to je super že má tolik spousta lidí to používá a zkoumá, to nemůže bejt děravý a google to jsou sluníčkoví hustokrutopřísní týpci, ti to hned zalepí, co na tom, že rýžožrouti se na to vyserou, Linux rulez!
Co je nezrozumitelne na tom ze je ten OS v principe write protected a uvedena diera neni ziadna diera? Ja tu nevediem debaty typu je to cool lebo jurko to pouziva, podla mna je sracka vsetko, ale je to bezpecne a neni to derave, neni treba nic lepit, a nazov clanku neni pravda.
P.S. ja nerozumiem reotorike "bububububu sedi bubak pod stolom a bacha lebo skoci ti hned do mobilu okamzite zalepuj bububububu!" Jak sa ti ten bubak dostane do mobilu prosimta odkial? Na markete urcite falosne podpisy nebudu, to si moze google scanovat ob sekundu dookola vsetky app, tak skade? Fakt povazujes ludi v google za tak blbych? Co sa tyka samotneho jadra ludi v google tak je to vyvojarska spicka (sudiac podla toho jak vznikali a co doteraz dokazali)
Write protected byl/je třeba i Symbian.. jenže to neřeší to, že ten systém je zranitelný z pohledu aplikací.
Vtip je prave v tom, ze na linux viry nebudou ani kdyz bude rozsirenej a prave Android je toho dukazem. Viz. zminena bezpecnostni chyba, o ktere se tu bavime a ktera presto, ze je na Androidu hodnocena jako zavazna, nema nejaky vyrazny dopad na uzivatele a pravdepodobnost, ze diky teto chybe bude naboren nejakemu uzivateli Android je pomerne mala.
Bavíme se celou dobu o mobilních OS a tedy postulát, že výroba chyb je doménou Windows a ne Linuxu/Androidu, je zcela mylný. Tomu se nedá ani říct, že srovnáváš hrušky s jabkama, ale spíš hrušky s bagrama. Windows Phone nemá (nemůže mít) nic z desktopových Windows, je tvořen úplně jinými lidmi (to není ani jiné oddělení v MS, to je prostě úplně jiná firma, která neví nic o desktopech, jen o dvacet levelů nad nimi sedí Nadella), dost často lidmi, které MS přetáhl právě z firem jako Google atp., aby dokázal vytvořit konkurenceschopný mobilní OS.
Android je důkazem leda toho, že jediná rozumná ochrana je uzavření systému (rozuměj před koncovými uživateli/BFU) - bez rootnutí telefonu opravdu není jak systém poškodit, stejně na to jde i WP. Věta "na linux viry nebudou ani kdyz bude rozsirenej" je krásně naivní.
Otazka je do jakej miery ma WP bezchybne urobeny intepreter a ochranu root prav z user modu. Vzhladom na to ze to je closed source a vzhladom na to ze MS v tomto nikdy nevynikal, by som sa neodvazoval tvrdit ze to je nepriestrelne, ja neviem ani ma WP nezaujima, oni nam kdejaki hackeri potom casom ukazu, ci tam su nejake diery :) U opensource systemu ten interpreter predpokladam uz preluskalo milion ludi nech tam nie su nejake neosetrene vstupy.
Jiste je to jen predpoklad, ale v tom je prave ta krasa open-source, my vime, ze to je bezpecne, protoze je to otevrene a je mozne do toho nahlednout, o closed-source WP nevime nic.
Ono ale i s rootem nebo-li uzivatelem s administratorskym pristupem je to OK, protoze neznamemu programu ty administratorska prava jednoduse nepridelim. Mimochodem stejne je to od nepameti na linuxu, administratorska prava bezny uzivatel nema, dokonce byva administrator (root) primo zakazany a nelze se do nej prihlasit, muzes si jen docasne administratorska prava pridelit, (pokud znas heslo), proste to co zavedl MS od Windows 7 funguje v linuxu uz 20 let.
můžu si to nechat zarámovat? větší kravinu jsem neslyšel, můžeme začít přímým přístupem do ram
Pokud vím, tak se to dá patchnout přes Xposed Framework, když máte root. Pro ty co si stěžují a brečí jak je to hrozné, že výrobce telefonu nevydal update jim tady házím link.
ano, směji se. k hovnu je to.