LINUX.ORG.RU
ФорумTalks

Для тех, кто считает что апдейты не нужны: очередной удалённый рут для Андроида

 0-day, , копрофон,


2

0

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

0-day, фиксов пока нет.

В основном принёс для тех, кто кричал что апдейты не нужны и им и так хорошо на Хуяваях, Хяоми, Булингах и прочем интересном железе без апдейтов.

Exploits require little or no customization to fully root vulnerable phones. The vulnerability can be exploited two ways: (1) when a target installs an untrusted app or (2) for online attacks, by combining the exploit with a second exploit targeting a vulnerability in code the Chrome browser uses to render content.

★★☆☆

Последнее исправление: grim (всего исправлений: 3)

Но ведь параноики не пользуются телефонами на андроид. Так что мы в безопасности.

Riniko ★★
()
Ответ на: комментарий от gadfly

белки-истерички

«combining the exploit with a second exploit»

sergej ★★★★★
()
Ответ на: комментарий от gadfly

Я ж для таких как вы жирным выделил! Повторю :

for online attacks, by combining the exploit with a second exploit targeting a vulnerability in code the Chrome browser uses to render content

grim ★★☆☆
() автор топика

Прикольно конечно. Хотя как-то без практического бабаха не интересно.

Вообще в Android весёлая ситуация, там вот просто крутые уязвимости вылезают, что в сочетании с плохим уровнем апдейтов в теории должно иметь крутой эффект.

Но как-то слабовато на практике. Всё же зоопарк и изоляция спасают ситуацию.

fornlr ★★★★★
()

Хм-м-м, в вашем трояне обнаружена уязвимость удаленного доступа - надо бы обновить.

byko3y ★★★★
()

В основном принёс для тех, кто кричал что апдейты не нужны

Конкретно в этом случае ещё и бесполезны.

The use-after-free vulnerability originally appeared in the Linux kernel and was patched in early 2018

For reasons that weren’t explained in the post, the patches never made their way into Android security updates.

Т.е. дыра известна и починена уже как полтора года. Но в апдейты не попало. «0-day, фиксов пока нет.»

NeXTSTEP ★★
()
Последнее исправление: NeXTSTEP (всего исправлений: 1)
Ответ на: комментарий от Deleted

Ну я так понимаю, combining with a second exploit, но в FF, даст такой же результат.

turtle_bazon ★★★★★
()
Ответ на: комментарий от NeXTSTEP

Т.е. дыра известна и починена уже как полтора года. Но в апдейты не попало. «0-day, фиксов пока нет.»

Погоди, АНБ новую дыру для себя найдёт сначала. Потом эту закроют.

Deleted
()
Ответ на: комментарий от tmp_do

Типа кто первый рутанул, тот и молодец. Можно рутануть, залить свой payload, и запатчить баг за собой. Красота.

Deleted
()
Ответ на: комментарий от tmp_do

Вот да! Кто бы приспособил для самсунгов, чтобы рутовать оригинальные прошивки. Цены бы не было!

vitruss ★★★★★
()

Просто купи новый тилифон 9)))00)0))))))))))))0))

FiXer ★★☆☆☆
()
Ответ на: комментарий от Deleted

кто первый рутанул, тот и молодец.

ну а поскольку мы здесь все в теме, то мы - молодцы:) стало быть новость хорошая!

crypt ★★★★★
()
Ответ на: комментарий от turtle_bazon

Так на апдейты же не нужны!

Хотя если копрофон менять два раза в год, то может и пронесёт.

grim ★★☆☆
() автор топика

так это ж классно. люди раньше корячились, ставили рутовый доступ на ведроиды. а теперь рут для всех, без СМС! :)

если так дальше пойдёт, то я, может, даже подумаю ведроид какой-нить дешёвенький прикупить, чтобы поиграться.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)

прекрасная новость.

ещё бы кто мануал или скрипт по рутованию телефона привёл

wieker ★★
()
Ответ на: комментарий от NeXTSTEP

Но на моем копрофоны от самсунга есть вероятность что её починят и что то выпустят.

Ну и начинаешь понимать почему ифон так популярен.

Стоит как самсунг, но поддержка в несколько раз дольше, т.е. можно с чистой совестью года 4 пользоваться.

grim ★★☆☆
() автор топика
Ответ на: комментарий от grim

Ну и начинаешь понимать почему ифон так популярен. Стоит как самсунг, но поддержка в несколько раз дольше, т.е. можно с чистой совестью года 4 пользоваться.

Думаешь, что большинство покупающих ипхон задумываются именно об этом?

Deleted
()
Ответ на: комментарий от Deleted

Думаешь, что большинство покупающих ипхон задумываются именно об этом?

Думаю большинство переходящих с копрофонов на ифоны принимает это во внимание.

grim ★★☆☆
() автор топика
Последнее исправление: grim (всего исправлений: 1)

А копрофон тут при том, что? Нет функциональности - нет дыр?

t184256 ★★★★★
()
Ответ на: комментарий от grim

Ну, проблема преувеличена. ИМХО. Гораздо важнее знать про уязвимости и отслеживать их, чем просто тупо полагаться на секурити апдейты.

turtle_bazon ★★★★★
()
Ответ на: комментарий от turtle_bazon

Гораздо важнее знать про уязвимости и отслеживать их, чем просто тупо полагаться на секурити апдейты.

Вы серьёзно поалагаете что каждый пользольватель копрофона на андроиде будет отслеживать уязвимости и патчить самомтоятельно свой копрофон для которого апдейты перестали выпускать ещё до покупки?

grim ★★☆☆
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.