pegasus или демократия в опасности

работающий на чуть ли не всех версиях iOS и Android

ССЗБ. Андроид хоть и получше (открытый код), всё ещё плохо. Если желаете безопасность и приватность — установите на телефон дистрибутив линукс.

Лучше просто выкинуть сраный андроид и купить простую звонилку.

Это совершенно другой класс устройств.

Да и сотовая связь совершенно небезопасна.

Если желаете безопасность и приватность — установите на телефон дистрибутив линукс.

В Linux также дофига уязвимостей.

Вот когда будут телефоны с аппаратной поддержкой Tinfoil Chat-а, тогда будет практически нереально перехватывать plain-text и уж тем более расшифровывать сообщения.

В Linux также дофига уязвимостей.

Они есть во всех крупных проектах. Просто разработку линукса не контролирует одна корпорация, есть миллионы глаз.

Я думаю что эта функция заложена в архитектуру мобильной ОС, выход юзать что то не от корпораций (типа бубунтуфона)

Софт тупо продавали всем, кому нужно было шпионить за кем-то

4.2

продавали только государствам дружественных стран

Просто разработку линукса не контролирует одна корпорация, есть миллионы глаз.

И помогли эти миллионы глаз безопасности линукса. Покуда у линукса монолитное ядро и кол-во кода будет расти, кол-во багов кардинально не снизится, а даже наоборото будет расти вместе с размером кодовой базы

И помогли эти миллионы глаз безопасности линукса

А вы попробуете утверждать обратное?

Помогли, конечно.

Андроид хоть и получше

Пошел читать пруфы. А нашел покушать:

When news of the iOS version of Pegasus got out, Apple was quick to react. The company issued an iOS security update (9.3.5) that patched all three of the aforementioned vulnerabilities.

Google, which helped investigate the case with the Android version, took another path and notified potential Pegasus targets directly

и кол-во кода будет расти

4.2 Больше растет вшыть.

Просто разработку линукса не контролирует одна корпорация, есть миллионы глаз

Что толку от этих миллионов глаз? Обычные разрабы протирающие штаны от звонка до звонка под командованием эффективных менеджеров. Кто ищет и продаёт 0day уязвимости более мотивированы.

Pegasus покупает 0day уязвимости, так что без разницы что там у вас на девайсе. Если оно на Си или чём-то подобном, написано копро-разрабами, то оно из коробки уязвимо.

Что толку от этих миллионов глаз

Эти глаза — не простые разработчики, ещё и министерства обороны, спецслужбы. Как думаете, они сильно мотивированы исправлением ошибок?

То ли ещё будет, когда Маск свой нейроимплант доделает. Выпустят руткит для мозгов и всё, приехали. Только замыслил недоброе, а тебя уже пакуют робокопы за мыслепреступление.

Если желаете безопасность и приватность — установите на телефон дистрибутив линукс.

Как это поможет достичь безопасности и приватности?

министерства обороны, спецслужбы они сильно мотивированы исправлением ошибок

Думаете там гении сидят? Такие же разрабы и карьеристы с не менее эффективными менеджерами.

Как продукт от независимых разработчиков с открытым кодом поможет достичь безопасности и приватности?

Это скорее риторический вопрос.

took another path and notified potential Pegasus targets directly

А если «target» — это мафиозный босс, Гугл тоже уведомление направлял? Или присылал специального мессаджеро?

Ну и что с того? Они сидят, им за их работу платят зарплату.

Ничего, я изначально написал, что люди находящие 0day уязвимости более мотивированы и опытнее, чем все эти разрабы. Поэтому всё очень плохо и безопасности нет. Правда, если ты неуловимый Джо, то какой-то барьер безопасноти можно соорудить.

Ну принцип Неуловимого Джо всё же как-то работает.

Единственное, чтобы браузер поддерживал расширения и фишки по блокировки. А то вон я пользовался на Ubuntu c шишом на эту тему — можно было пользователям iOS завидовать.

Эти глаза — не простые разработчики, ещё и министерства обороны, спецслужбы. Как думаете, они сильно мотивированы исправлением ошибок?

А вот не надо всё в одну кучу. Одно дело какой-то там серверный элемент, а с другой стороны какой-то KDE. Где главное, чтобы работало, о секурности никто и не думает.

Вещи совершенно разные.

Как продукт от независимых разработчиков с открытым кодом поможет достичь безопасности и приватности?

Все же совсем наглые способы поимения обычно не допускаются. В проприетарщине же может быть вплоть до захрдкоженного мастер-пароля и т.п.

Да всё что угодно может быть, особенно в проектах где шаром покати. Ну собственно о них и речь шла.

Ну, вроде как в СНГ эту поделку не продавали.

отправляется - вместе с фотками вашей голой жены/девушки - куда надо, и без вашего ведома.

Вот годный лайфхак что-бы такого не происходило: берешь и не фоткаешь голую жопу (свою\девушки) на телефон. Также и с важными документами - не нужно хранить их на устройстве, которое у вас может украсть на улице какой-нибудь гопник (он же может найти ещё и весомый аргумент что-бы вы перед дарением устройства ему - разблокировали его и сняли блокировку).

А если у тебя мультиподпись? Физически не сможешь разблокировать такое устройство с важными документами без доступа к ячейке (со вторым ключом) в банке, в другой стране. Если только гопник агент ЦРУ, но тогда твои важные документы давно у них…

Как продукт от независимых разработчиков с открытым кодом поможет достичь безопасности и приватности?

Учитывая, что, как недавно выяснилось, присунуть бэкдор в ведро не то чтобы очень сложно, если в этом в итоге не признаваться.

Ну принцип Неуловимого Джо всё же как-то работает.

Еще работают собственные модификации. Ну да, security through obscurity и самопал нехорошо, но когда оно достаточно уникально, то вот тут всякие пегасусы и прочий готовый инструментарий разных крутых ребят может хорошо лососнуть тунца.

Учитывая, что, как недавно выяснилось, присунуть бэкдор в ведро не то чтобы очень сложно, если в этом в итоге не признаваться.

Там бэкдор еще применить надо суметь. Это не мастер-пароль.

не нужно хранить их на устройстве, которое у вас может украсть на улице какой-нибудь гопник (он же может найти ещё и весомый аргумент что-бы вы перед дарением устройства ему - разблокировали его и сняли блокировку).

ну знаешь, так можно договориться до того, что на ноуте вообще ничего кроме бабушкиного рецепта пирога нельзя хранить, ведь гопник приставит нож к горлу, и выпытает все пароли…

На это есть же двойное дно.

Открываешь специально созданного пользователя с рецептами пирогов, порно, и ебилдами (ну чтобы правдоподобно выглядело, почему красные глаза).

Просто разработку линукса не контролирует одна корпорация, есть миллионы глаз.

Еще диды говорили: у семи нянек дите без глаза.

Ничего не изменилось.

Дык, к этому всё идёт, да. Данная ситуация не решается техническими методами, увы.

Решается, но это никому не нужно кроме нескольких криптоанархисто в-нищуков и полтора анонимуса с лора.

Тут одни исследователи намедни исследовали эффективность этого миллиона глаз по сравнению с прохождением FIPS сертификации или чего-то где всё-же задействованы специалисты по ИБ:)

Дык их и заметили, это они ещё использовали электронный адрес университета.

превращающий смартфон в один гигантский зонд

Ну надо же, вода мокрая, кто бы мог подумать, а что без пегасуса он не является одним гигантским зондом ? если данные утекают вместо гебни например саудовской в цру это чем то лучше ?

есть миллионы глаз

Тут не так давно какой-то университет признавался, что засовывали уязвимости в ядро, миллионы слепых глаз не помогли (опять).

Кроме того, помимо самого ядра у тебя на телефоне будет крутиться еще куча софта от других разработчиков, где у тебя никакого миллиона слепых глаз не будет. А по пути у тебя есть целая инфраструктура сотовой связи, построенное много лет назад с кучей оборудования и протоколов, которые делались вообще без мысли о том, что надо делать безопасно.

tl;dw - даже если принять, что в ядре у тебя не будет уязвимостей (что никак не соответствует истине) у тебя будет еще огого какой ландшафт угроз, умеющий огого сколько уязвимостей, которые спокойно позволяют сделать довольно много разных вещей.

К этим устройствам следует относиться как к телефонной будке, т.е. к общественному месту, только телефонная будка миниатюрная и помещается теперь в карман, при таком подходе никому не придет в голову хранить там фотки с голой жопой, ну кроме эксгибиционистов.

университет

Вот именно!

Университет, а не какие-то левые граждане.

если данные утекают вместо гебни например саудовской в цру это чем то лучше ?

Одно дело когда кровавый тоталитарный режим пытается договориться со светлым оплотом демократии и мира о предоставлении доступа к зонду, и совсем другое дело, если этот режим просто купит руткит у коммерческой конторы, почти так же просто, как картошку на базаре.

Катастрофически неправильный подход. Всё, что находится вне контролируемой инфраструктуры - это «какие-то левые граждане».

Инфраструктура университетов вполне контролируема госорганами, которые используют этот продукт.

Нет, не контролируема.

UDP с точки зрения разрабов Linux-а, госорганы - это тоже «какие-то левые пацаны»

Вполне себе контролируема, речь же про штаты, где полно спецслужб.

Капитализм порешал, как обычно.

Да хоть про Штаты. Университет - это частная организация. Свою инфраструктуру обслуживает сама. Спецслужбы привлекаются только при расследовании каких-то инцидентов. Всё.

Или в твоей вселенной тамошние универы админят и мониторят хмурые господа из ФБР, Секретной Службы, CISA, АНБ, FEMA и до кучи федеральные маршаллы?

UPD Российские ВУЗы тоже админят и мониторят себя сами.

только при расследовании каких-то инцидентов

Ага, типа включение вредоносного кода в проект, который используют спецслужбы и военные.

Только вот это МОЖЕТ (потому, что не факт, что будет) случиться уже ПОСЛЕ того, как об уязвимости стало известно. Не предотвращает никак. Увы.

PS За 2021 год в ядре было обнаружено 108 уязвимостей. Как ты думаешь, сколько раз возбудились спецслужбы?