Эпичное решето от гугла

Ну проблема уже в том, отчасти, что вредоносное ПО попало на play store

Потому что постмодерация. И это хорошо. Потому что позволяет мне ставить любой софт, а не только тот, который мне ставить разрешили.

Потому что постмодерация. И это хорошо. Потому что позволяет мне ставить любой софт, а не только тот, который мне ставить разрешили.

Ну пусть они для тебя сделают магаз с малварью, а мне, пожалуйста, без. Так как я вот разбил хрустальный шар и не умею определять по иконке софта малварь это, или нет, о жертва стокгольмского синдрома :)

Нет статистики — нет объективности.

Нет, не останусь.

Я это не тебе писал.

Я наоборот все эти байки про угоны и малварь пытаюсь воспринимать критически, и понимаю, что 98% случаев могут оказаться «сам прошел по ссылке в смс, скачал apk, ввел пароль рута и пинкод, все разрешил, ... ипать меня сламали!!111».

Дык, так оно, как правило, и есть. Только пароль рута не вводят. Вылезает окно с вопросом, разрешить ли приложению права рута.

Но блин, у меня на карте бывает валяется бабло, и я не готов с ним расстаться просто потому, что написал в поиске гуглстора «телеграмм» вместо «telegram» (был прецедент) или не слазить с измены во время работы с телефоном из-за 2%.

Ну так не ставь рут, и приложения не смогут получить доступ к данным других приложений.

о жертва стокгольмского синдрома :)

Сколько боли :-)

Епт, пардон, глаз замылился.

Я уже писал выше - арбские циферки ставят iOS раком, но не взламывают.

Чтобы взломать по данной уязвимости девайс, нужно:
a) Установленный hangouts. b) Настроенные mms c) Абсолютная невнимательность юзера.

Ты рандомно цитируешь, да?

Нет, забавляет фанатизм. Что-то я не помню от тебя тредов по украденным keychain OS X/iOS. А с весьма прохладной историей про уязвимость android - тут как тут.

Или это от эмоций? :)

https://lh3.googleusercontent.com/8dIX8OgAbkprJOXO5DZzGvgPTjO_RsNW0BDiP1_iQKM...

Упс :)

Вылезает окно с вопросом, разрешить ли приложению права рута.

Мне вот это больше всего смущает. На айфоне в момент, когда требуется сервис, вылезает окошко «разрешить <ххх> [с]делать <ууу>?». И никогда при установке не спрашивается, что ей можно или нельзя. Четко видишь контекст действия. А рядовой юзер андроида просто тыкает далее и вот уже (пример из жизни) в адресбуке есть новые контакты и прога куда-то сама звонит (в корейский саппорт газовых котлов, лол). Прошивка-сток. Ну вот как это? Айфон вообще не дает писать в АБ, а перед звонком обязательно спросит «позвонить/отмена». Это можно общесистемно запретить и сделать как-то поумнее?

Ну так не ставь рут, и приложения не смогут получить доступ к данным других приложений.

А при руте могут? Я думал просто одну оболочку на другую меняешь (и ядро), а сандбоксинг такой же остается.

Интересно, это благодаря или вопреки.

А это правда, что нельзя сделать свой, чистый гуглстор? Всмысле вообще отключить малварные дистсоурсы, чтобы только среди genuine verified apps искать?

вообще отключить малварные дистсоурсы

Что ты имеешь в виду под этим?

спустя год 900 миллионов все еще будут дырявыми

как и 900 миллионов роутеров с ядром еще 2.4, где эксплоитов море, всякие дыры в SSL и т.д. + дырявый вебгуй

Эпичное решето от гугла (комментарий)

+ следующий за ним комментарий сделали меня задуматься о том, что и какого рода лежит в «официальном магазине».

a) Установленный hangouts. b) Настроенные mms c) Абсолютная невнимательность юзера.

а) установлен практически везде, и это связано с тем, гугл давно уже давит вендоров через ОHA, от чего пероиодически пригорает у всяких там яндексов.

b) sms тоже настроить надо, да? MMS везде включен по дефлоту.

с) от юзера тут ничего не требуется, читай новость. Более того, он должен читать новости о дырах в ведроиде, чтобы вообще заподозрить неладное в уведомлении без сообщения. Не говоря уж о том, что крякнувший ось троян и уведомление может тут же подтереть, хехе.

Нет, забавляет фанатизм.

То, что тебя забавляет фанатизм, а не эпичная дыра в оси, которой пользуешься, намекает на то, что фанатизм тебе лучше искать в зеркале :)

Задо линакс в каждой кофеварке скоро будет.

Я так и не понял, если hangouts назван малварным, то это слегка не соответствует действительности.
Как не соответствует действительности и принцип постмодерации. С 17 марта 2015 года Google ввел премодерацию приложений, заливаемых в Google Play.
Способов не ставить малварь много. Но все они требуют больше телодвижений. Есть F-droid как альтернатива и много других магазинов.
И когда человек говорит о том, что «политика Google ведет к блаблабла» - это глупость. Если твой девайс - не Nexus, то CM/сторонние прошивки/поддержка производителя - к твоим услугам. Нет - получай рут на телефоне и ставь менеджеры разрешений. Они есть.
В ванильном гугловом дроиде поддержка разрешений появится в Android M.

установлен практически везде, и это связано с тем, гугл давно уже давит вендоров через ОHA, от чего пероиодически пригорает у всяких там яндексов.

Приложение для SMS можно сменить. Он сам это предлагает, когда в первый раз пытаешься отослать SMS. У основного android-производителя (Samsung) в дефолте свое приложение. У Sony вроде тоже. Т.е. > 60% продаваемых андроид трубок требует намеренного включения hangouts.

sms тоже настроить надо, да? MMS везде включен по дефлоту.

Да. Первый запуск с диалогом приложений не поймаю уже, а вот диалог выбора приложения для SMS - смотри:

https://lh3.googleusercontent.com/o7Z9G58_QrZJJFqBU1YcrdNSvh-plVU_sVBOcFkefJc...

Ставь/выбирай, что душеньке угодно. На android < 5 включать hangouts нужно вообще вручную. Не стоит оно там по дефолту.

а не эпичная дыра в оси, которой пользуешься

Отключаемая одной галочкой. Хорошо.

17 марта 2015 года Google ввел премодерацию

Воо, уже что-то.

сторонние прошивки/поддержка производителя - к твоим услугам.

Нет. Или сток на саппорте с обновлениями, или другой вендор, иначе будет как в линуксе — все идеально и со 100% гарантией, но net cost в два раза больше, чем цена яблока, включая переплату по кредиту. Разве что из спортивного интереса.

В ванильном гугловом дроиде поддержка разрешений появится в Android M.

Ладно, не буду выносить мозг, подожду новости. Спасибо!

Лол. Гугл уже давно сам всех толкает при установке на hangouts как приложение для sms. Ты не доверяешь любимому гуглу, шалунишка?

Ставь/выбирай, что душеньке угодно. На android < 5 включать hangouts нужно вообще вручную

Это на каком? 2.2, учитывая, что тройка фактически не пошла в массы? Ну да, а на PalmOS хренгаутс вообще не запустится. Фанбои, не позорьтесь, стыдно смотреть на ваши вихляния.

Как юзеру гугла: а гугл реально выпилить из base-system без рутования, или все равно он обо мне все будет знать?

Лол. Гугл уже давно сам всех толкает при установке на hangouts как приложение для sms. Ты не доверяешь любимому гуглу, шалунишка?

И тем не менее, дорогой мой, 60% продаваемых трубок поставляется без hangouts. Потому что Самсунг и его Messages.

Это на каком?

На всех, что не Nexus. Или не использует официальную прошивку гугла без своих примочек.

If you have a Nexus 5, Hangouts is your default text-messaging app and you can't uninstall the app. To use Hangouts as the default app for text messages for other devices with Android 4.4 or lower, you'll need to turn on SMS for Hangouts

https://support.google.com/hangouts/answer/3441321?hl=en

Тебе нужна левая прошивка. Обычно они или с другим вкусом встроенного трояна, как у всяких там байду, или поделки которые вообще толком не тестируются и обладают таком количеством багов, от которого и ванильному ведроиду стыдно - например CM. Рутовать обязательно. А так можешь попробовать отключить приложения гугла (удалить он не даст) и выключить все настройки синхронизации с серверами.

Не ври, дружок - я погуглил и hangouts стоит на самсунгах. Это и логично - большая часть матюков на самсунг идет из-за того, что как участники OHA они обязаны впиливать все приложения гугла но при это впиливают еще и все свои поделки до кучи. Пусть в тред прибегут любители корейского электропрома и макнут тебя пруфами... ну, полагаю, что не нужно уточнять, куда :)

http://www.verizonwireless.com/support/knowledge-base-98621/

Ага. И я реально уже устал повторять - по дефолту в Samsung стоит своё приложение. Hangouts доступен в списке выбора, но по умолчанию он отключен.

У меня data plan'а нет, MMS не ходят.

Для ммс дата план не нужен.
Во всяком случае у меня ммс на Motorola Rzr работали.

У мну не работает.

не делает дырявой саму платформу

Понимаешь в чём дело, ведроид - это не сферическое в вакууме. Подавляющие число пользователей не получают секурные обновления - в этом соль. И да в этом вина гугла, что они озадумились об упрощении обновлениях для вендоров совсем недавно (всякие там android one), что весьма сквозь пальцы глядят на модерацию в google play и adsence (или как у них рекламный сервис называтся, в котором через один трояны рекламируются)

И я реально уже устал повторять - по дефолту в Samsung стоит своё приложение. Hangouts доступен в списке выбора, но по умолчанию он отключен.

Ну хоть на этот раз им повезло, а то раньше :D http://securitywatch.pcmag.com/none/303097-dirty-ussd-hack-wipes-samsung-phon...

В общем, там в вашей iOS баг на баге багом погоняет. Дырявее, видимо, только венда. Ну и кто теперь дуршлаг?

Мне насрать. В отличие от тебя. И насрать на уязвимости в iOS.

Лол, фанатик как есть.

PS: никогда не пользовался iOS и не собираюсь

У Самсунга поддержка устройств === 1 год. У меня sgs3, обновлений нет ровно после 1 года от анонса на рынке сего девайса. Т.о. хомячки должны выкладывать по килобаксу за новый девайс раз в год ради своей безопасности. И плевать самсунг хотел на дыры.

Так в случае рута так и есть

Не могут, если не разрешишь приложению Рут права

Я треды не создают, я пруфы привёл. А всё, что могут фанаты apple - это слепо верить в безопасность, даже не смотря на то, что им доказали обратное.

нет кулсторей о взломах и угонах бабла

Каму нужно это бабло? Купюры видели почти все.

А вот кулстори с фоточками, большинство из которых яблофаны думали что удалили, повеселили большое количество людей.

Так дыра в Hangouts? А как это связано с обновлением (или необновлегием) ОС? Hangouts обновляется через Play Market.

Но зачем так жить?!

Еще раз повторяю, уязвимости и факапы случаются. Главная же проблема ведроидов, что апдейты не прилетают.

Для меня последней каплей было, когда при смене часовых поясов, они заявили 'лососните тунца даже обладетели нексусов'. Мне такой 'линукс' не нужен, а ты и дальше можешь есть с лопаты, но радоваться факапам и проблемам iOS (тот же самый DoS с арабскими буквами, насколько я понимаю быстро залатали)

PS: написано с ubuntu phone

Цитирую первый абзац статьи:

Almost all Android mobile devices available today are susceptible to hacks that can execute malicious code when they are sent a malformed text message or the user is lured to a malicious website, a security researcher reported Monday.

Говорят, что чтение образовывает! Ну и не будем уж о том, что когда через хренгаутс можно сломать всю систему, то проблема вовсе не в нем, как мы догадываемся.

Американские провайдеры делают свою прошивки. Вернее, все, кроме эппла, делают кастомные прошивки с брендингом и гуриями под конкретного провайдера. Ищи пример с нормальным S*. Впрочем, как можно увидеть из цитаты сообщением выше, избавление от хренгаутса тебя не спасет.

С нормальным? :D

У самсунг кстате было дело что они в стоковую прошивку для Этой Страны пихали игрушку, отправляющую платные смски

Ну, представь себе все стоковые приложения гугла + шлак от самсунга + шлак от конкретного провайдера и ты поймешь, почему народ просто в восторге :)

Хочу планшет с кодировкой KOI8-R.

4.4.2, например. Натыкаюсь на него постоянно в не самых древних телефонах

Еще раз повторяю, уязвимости и факапы случаются. Главная же проблема ведроидов, что апдейты не прилетают.

На нексусах прилетают. На других тоже, если девайс новый.

Ещё раз, я тебе приводил ссылку с сотнями уязвимостей в iOS. Ты же брызжешь слюной по поводу одной в Android.

950 миллионов девайсов, которые можно взломать по-тихому

Откуда странная цифра 950M? Если для взлома нужен Hangouts - у меня в Android 4.1 его тупо нет.

Какая-то уж слишком эпичная дыра получается.

Что-то тут нечисто. Оригинальная новость на зимпериуме ссылается на какие-то левые CVE зарезервированные еще в феврале и до сих пор не открытые, и половину статьи посвящает рекламе своей платной убер-защиты. Казалось бы такая новость должна создать резонанс по всем интернетам, но новостей крайне мало, и все ссылаются только на эту статью на зимпериуме.

Я бы обождал откладывать кирпичи.

Я тебе больше скажу, у меня и в 5.1 его нет.

Сейчас придёт ptarh, и скажет, что это не отменяет того, что андроид решето. Хоть там уязвимостей было обнаружено в 10 раз меньше, Android всё равно хуже белого и пушистого iOS.