Velká malá "piha" v bezpečnosti MacOS X/iOS

Hlavně, že prodávají 11' notebooky za 40 tisíc.

A vy zase bijte černochy
Co na to iOvce?
Edit: Tak koukám, že problémy se nevyhýbají ani prémiovým značkám...

U premiove znacky je to vylozene bubak.

Nejdriv teda k iovcim a Applu. Jelikoz Apple nenecha do sveho Storu pristupovat kde koho, tak realne zneuziti chyby je takove, ze kdyz by to nekdo skutecne zkusil, jednoduse ho obratem Apple zazaluje, protoze hned bude vedet, kdo se pokusil podvod udelat, ten vyvojar aplikace proste neni anonymni. To samozrejme Apple neomlouva, chyba to je a je opravdu velka, hlavni problem je ale laxni pristup Applu k oprave chyby.

U premiove znacky je to vylozene vtip tydne, staci si precist clanek na jakemkoli odbornem webu (ve smyslu, Samsung tam ma chybu, neni vicemene zneuzitelna, ale je to chyba), potom pres bulvarni web tvartici se jako odborny (Samsung tam ma chybu, mohlo by dojit mozna i ke zneuziti) az po vylozeny bulvar (600 milionu mobilu v ohrozeni).
O co jde: jazykova lokalizace dodavana Swiftkey pro Samsung na zakazku se stahuje pomoci http a teda nesifrovane, pokud nekdo pouziva klavesnici od Samsungu a stahoval by aktualizaci te jazykove lokalizace pres nezabezpecenou wifi, mohlo by dojit k jejimu pozmeneni a dostat tak na smartphone misto aktualizace nejaky malware, ten by pak mel pristup k aplikacim pouzivajicim klavesnici a v tech by mohl napachat dalsi skody. Pokud teda pouzivate klavesnici Samsung a aktualizovali jste lokalizaci klavesnice nekde na verejne wifi v hospode, radeji provedte obnovu tovarniho nastaveni telefonu. Samsung sice slibil, ze behem nekolika dni doda do svych telefonu zaplatu pomoci KNOXe, nicmene to neni systemove reseni. Tady ovsem bude problem s komunikaci se Swiftkey, aby zacala pouzivat sifrovani.
Muj nazor: nejlepsi klavesnice na Android je TouchPal, takze pouzivejte jinou klavesnici tak jako ja a nic vam nehrozi.

Jak vidis u premiove znacky je to mozna spis zbozne prani konkurence nez opravdova bezpecnostni chyba.

To v tom Ťamťungu je taky chyba, ne že ne.

pouzivejte jinou klavesnici tak jako ja a nic vam nehrozi

Stačí používat jiný OS A taky mi nic nehrozí.

Stačí používat jiný OS. A taky mi nic nehrozí.

No tim bych si nebyl az tak jistej, v iOS je preci taky chyba a WP nikdo nepouziva, tudiz ani na chyby netestuje, mozna jich tam jsou stovky, akorat to nema kdo zjistit. Ono taky kdo by se delal s malwarem pro 4% mensinu, takze mas pravdu, asi ti nic nehrozi, pokud pouzivas WP.

Jiste, Samsung tam ma chybu a take uz hleda reseni k zaplatovani. Neni to dobre, ale stat se to muze.

dokážu ti z fleku popsat zneužití:

1. vyvinu aplikaci
2. počkám až si ji stáhne dostatek userů
3. vydám update, který se většině automaticky stáhne, a ve kterém bude onen hack, který se aktivuje "skrytě" a do botnetu se připojí třeba až za měsíc.
4. počkám týden
5. vydám další update, který už bude opět čistý

Voila, mám botnet, a nikdo mě nemůže vystopovat.

Myslis, ze ve chvili kdy na to nekdo prijde, se Apple nedokaze podivat do historie jejich Storu a neidentifikuje toho, kdo tam mel aplikaci s malwarem?

Ja si proste myslim, ze realne sance na zneuziti te chyby tak velke nebudou, ale Apple urcite neomlouvam, uz to meli mit opravene.

Ty věříš, že Apple udržuje staré verze aplikací?

Jak dlouho asi bude kontrolovat ty tisíce aplikací, které se během té doby změnily?

Proč se z toho dělá takové dráma? Tak udělali jednu chybu, kterou našli odborníci po kdoví jak dlouhém snažení. Windows dneska zaviruje i malý dítě a nikdo z toho vědu nedělá. Tak proč zrovna o tomhle psát?

Vsak se taky o nejvetsich pruserech Microsoftu ve Windows pise, pokud se to MS zdraha (neumi) opravit. Tady je od Applu podobny pristup, o chybe byli informovani a nic.

Spíš jde o to, že když neopraví MS nějakou díru, tak je virtuálně mlácen po rovněž virtuální hlavě tím, jak ostatní na uživatele neserou a podobně.

protože je z toho dnes reálně zneužitelný vzdálený rootkit? Nahoře jsem ti popsal mechanismus, jakým to lze zneužít.

Chyby jsou všude. Spíš mě překvapuje přístup Applu, že ani po půl roce s tím nic neudělali.

I když... vlastně nepřekvapuje. Na 10.10 byly reportovány mrtě chyb stran vykreslování, virtualizace, zatuhnutého spouštění počítače, blokovaného spuštění aplikace atp. Apple všechny ignoroval. Pro nadcházející 10.11 nicméně "bombasticky" anoncuje zrychlení spouštění, zrychlení renderování atp...

Už je vidím, jak pár měsíců po vypuštění 10.11 budou zase radostně hýkat, že drtivá většina uživatelů dobrovolně a s radostí přešla a že v tomhle na ně MS nemá. Bodejť, když těm, co chtějí mít OS X aspoň trochu v cajku, nic jiného nezbývá...

nemam dojem, ze by XP bolo v "cajku" a aj tak na nom ludia ostavaju. Takze ten upgrade nebude len o tom. Proste ludia nechcu dlazdice.

XP

Čtrnáct let starý operační systém... Navíc již nepodporovaný. A lidi by klidně zůstali i u Win 9x, kdyby na tom pořádně (případně vůbec) fungoval internet a hry. Ostatně, na "vedlejším" notebooku taky nemám zrovna moderní softwre:

no len ta bezpecnost by bola asi dost diskutabilna.

Tak to bezesporu...

Chyby jsou všude. Spíš mě překvapuje přístup ludi, ze ti vsetky sracky ci uz i alebo ne-i nehodia pod vlak, a nepozaduju zakonmi hardwarovo write protected OS a podobne (napr. certifikacnu autoritu pre firmware routrov a cohokolvek a dovolit predaj LEN certifikovanych veci pricom certifikacia moze byt odobrata apod). (to by ale museli v parlamente sediet ludia s IQ a ne nejaka merkel z DDR & tupa banda, ktora ma tiez zavirene PC a ani to donedavna netusila :)

Jak vypadá bezpečnostní kontrola Applu?

hlavne že originálna štúdia sa venuje cross-app chybe na androide,linuxe a unixe všeobecne a českí lovci senzácií z toho vypichnú akurát apple macos a ios.....

vedel by si plz dat aj zdroj? celkom ma to zaujima.

jestli to nebude tím, že všude jinde je už dávno záplatováno.

• Nevim ci to mam nazvat blbosti nebo neznalosti autora clanku, ale pred zminovanym pul rokem slo a moznou vunelabiritu iCLOUD, zadné infekce aplikaci ani jejich ulozenych dat nehrozilo.
(to ze nekdo ukradl fotky, protozel "dosel" na heslo, tak jak to zkousi i novinari etc. pred tim se chranit efektivne a pohodlne neda)
• Nepocitaje, ze apple, na diry v bezpecnosti vzdi reagoval rychle, o tom ze nechavaji diry v této bezpecnosti na jejich materskych servrech jiz pres pul roku je absurdni.

Servery Apple vůbec neběží na OS X, na to ten systém není určen. Používají jiné Unixové systémy, které již záplatované jsou.

Stejně bych si koupil jenom apple heheh, ostatní značky sou pro plebs.

to bezesporu.

Na každej systému se najde chyba a nic není v bezpečí na 100%, co se vůbec vzrušovat.

Vzrusovat sa treba preto lebo je mozne to urobit aj inac. Namiesto toho sa ludom sugeruje ze toto je "normalny" stav, k nesmiernej radosti roznych zivlov.

Já to myslel obecně. Vždycky se najde trhlina, která se musí opravit. Nikdy nejde vymyslet dokonalej system ochrany.

jde vymyslet (a neni to ani ziaden problem)

Haha O to se snažej vývojáři od dob kdy vznikla výpočetní technika a ještě se to nikomu nepovedlo.. To je něco jako perpetum mobile.

Haha o to sa nesnazi nikto, len dementi lepia polepene zabugovane debiliny.
OS moze byt napr. hardwarovo writeprotected, a nemas zakladny problem zavirenia OS. A vyvojar nemusi robit chyby, to by ale nemohol byt nejaky dement co prave opustil nejaky kurz a ide robit machra za 5korun do MS apod. MS apple apod ide LEN o profit, o nic ine, ked najdu nejakych lepicov za 5korun/hodinu tak nemaju problem povyhadzovat schopnych ludi a nechat lepit sracky 5korunovym dementom apod. NIKTO sa nesazi, ptz to by museli zacat od zakladu menit myslenie, a kravataci zasadne nemyslia ptz nemaju mozog, tak nemozu zmenit myslenie. TO je dnesna realita. Zmenit sa da toho mnoho, keby to niekto zmenit chcel.

BTW. a uz aspon 10rokov je vymysleny tzv chain of trust, pricom prvy blok BIOSu moze byt HW writeprotected, a aj sa to pouziva v specialnych priemyselnych veciach kde je nutna certifikacia nemenitelnosti apod. Na komercne sracky pre plebs kazdy sere, len daco rychlo polepit zabgovane lebo kravatak si vymyslel nejaky termin, a hura.