Страшная уязвимость во всех версиях Android

Интересно как обновлять будут, если производители забивают на андроид через полгода после выпуска устроства :)

Вообще, выпилить бы весь этот псевдо-security шлак из дроида.

Тогда адова жесть начнется похлеще чем с виндой во времена msblast :)

Как я понимаю, тех, кто не ставит приложения не из play market, это не касается.

Не будет такого. Почему-то под windows mobile ничего не началось, как и под symbian.

Мы вчера уже это обсудили в Security =)

Это дает возможность превратить во вредоносное любое приложение совершенно незаметно для каталога приложений, аппарата и пользователя

Желтизна. Модифицированное приложение нужно как-то доставить пользователю. В Google Play для этого нужно иметь доступ к панели управления разработчика, незаметно это никак не получится.

Ничего не изменится. Те кто ставят левый софт из всяких помоек типа 4pda и так уязвимы.

по андроид число заразы растет экспоненциально и эта «псевдозащита» сейчас хоть как-то сдерживает от наступления всеобщего пипеца

модифицировать код APK, не нарушая криптографическую подпись

Очаровательно.
Лучшие программисты работают в гугле! Это вам не тупые микрософтовские индусы, пойманные сетями на помойках Бангалора!

И где же эта зараза? На какой порносайт надо зайти, чтобы приложение само установилось и могло нанести вред системе?

Ничего она не сдерживает. Зараза на таких девайсах распространяется только как бедный албанский вирус.

А если пользователь дурак, то никакая защита не спасает.

Проверка подписи просиходит при установке __обновления__ на тот софт, что у тебя уже стоит в системе.

Если пользователь дурак и ставит софт из левых мест, то ничего не мешает замаскировать троян под обновление, ставить отдельным приложением, ничего не замещая. Как это работает сейчас.

Для малварщиков эта уязвимости, фактически, не добавляет ничего нового.

А ещё таким же образом уязвим любой линукс, ага.

Даже не смешно.

P.S. Так-то вроде на выходе md5sum не будет совпадать.

P.P.S. Ставить .apk не из маркета, не зная что это и откуда - ССЗБ. Всё равно что скачать winrar.exe с сайта supermegafileupload.com, а потом жаловаться, что «виндовс медленно думает».

P.P.P.S. Короче, расходимся, посоны.

А если пользователь дурак, то никакая защита не спасает.

Отсутствие рута, например. Хотя да, дурак чо угодно сломает.

Отсутствие рута, например

Так это не спецзащита. Просто su/sudo нет)

Для малварщиков эта уязвимости, фактически, не добавляет ничего нового.

Ты ничего не понял. Смотри:

1. Ставим программу с сервисом в «свой маркет». Аля как сделал Samsung для своего Samsung Apps.
2. Модифицируем целевую программу.
3. Обновляем программу через свой маркет на свою и получаем полный контроль. Фантазии может быть достаточно - от слива учеток до полного логгирования, в том числе и съем инфы через GPS.

С учетом того, что все можно сделать в тихом (silent) режиме, данная уязвимость может поставить под удар многих. Вопрос в том, кто и каким образом «доставит» первую пилюлю.

P.S. Бояться сейчас нечего, т.к. Black Hat Forum (т.е форум «злых» хакеров) на самом деле съезд White Hats («добрых» хакеров) и обо всех уязвимостях гугл уже точно вкурсе. К моменту открытия форума выпустят патчи и в Багдаде вновь будет спокойно.

Почему-то под windows mobile ничего не началось, как и под symbian

Распространение мобильного инета было несколько.... другое.

А что мобильный инет? Вон сколько роутеров и пингвинодевайсов в сеть торчит - что-то эпидемии нет.

Вон сколько роутеров и пингвинодевайсов в сеть торчит - что-то эпидемии нет

Это прошивка с крохотным функционалом и без возможности ставить туда самому непонятные кривульки. А ведройд стремится быть «десктопной ОС» на телефоне

Новость про ботнет на линуксячьих роутерах не читал?

Читал. Мало похоже на правду.

А ведройд стремится быть «десктопной ОС» на телефоне

Вот только с таким отношением к пользователю - ...

Уверен, что это правда. Ты давно свой /var/log/messages открывал? Там же миллионы разных ip'шников постоянно пытаются подобрать пароль ssh :) Это и есть затрояненные линуксячьи хосты.

Это и есть затрояненные линуксячьи хосты.

Лол да, ну конечно же это не червивые вантузы. Инфа просто таки 146%.

Ты давно свой /var/log/messages

У меня оно в conky выводится.

Это и есть затрояненные линуксячьи хосты.

Когда пароль из слова пароль и ssh на дефолтном порту - то ССЗБ.

и давно на «вантузе» есть ssh ?

Тут тоже самое, вопрос доверия всяческим «своим маркетам». Если не ставить левый софт, можно спать спокойно.

К моменту открытия форума выпустят патчи

А вот с этим проблема, потому что гугл то выпустит (или уже выпустил), но вендоры очень не любят выпускать заплатки для собственных телефонов, особенно если телефону больше полугода.

и давно на «вантузе» есть ssh ?

И зачем он там? Чтобы брутить полноценный ssh-клиент не нужен.

Тут тоже самое, вопрос доверия всяческим «своим маркетам».

Слишком уж большой интерес вызывает андроид и чем дальше тем будет хуже. Кроме блекхатовцев полно нормальных людей, которые продают солюшены для взлома устройств. Рано или поздно расскажут и про взлом браузеров с возможностью исполнения произвольного кода. Это просто вопрос времени.

С другой стороны, это подстегнет вендоров пересмотреть политику обновлений, для решения проблем с безопасностью.

FUD. Да, теперь андроид не будет ругаться, если обновление хрома скачать с рапидшары. Но такие пользователи достойны страдать.

Уязвимость типа 'стандартный пароль' весьма распостранена.

У подруги затроянили роутер у которого вообще ссх не было наружу. Симптомы - днс часть хостов случайным образом резольвил в какую-то каку которая на все запросы предлагала скачать оперу мини.

telnet мог наружу торчать.

Давно по умолчанию на убунте есть ссш ?

Тут тоже самое, вопрос доверия всяческим «своим маркетам».

Можно обойтись официальным маркетом. В андроиде приложения, подписанные одним и тем же сертификатом, могут встраиваться друг в друга, например исполняться в одном процессе (т.е. иметь полный доступ к памяти друг друга). Дальше продолжать?

Если не ставить левый софт, можно спать спокойно.

Ну, если вообще ничего не ставить, то это, конечно, способствует лучшей безопасности. Правда не понятно зачем тогда вообще нужен смартфон. :)

и давно на «вантузе» есть ssh ?

Как минимум с 2004 года.

1. Ставим программу с сервисом в «свой маркет». Аля как сделал Samsung для своего Samsung Apps. 2. Модифицируем целевую программу. 3. Обновляем программу через свой маркет на свою и получаем полный контроль. Фантазии может быть достаточно - от слива учеток до полного логгирования, в том числе и съем инфы через GPS.

И как это всё сделать через гугл плей?

Как уже говорили - ставить левые .apk - лютое ССЗБ. Сам андроид предупреждает.

А вот с этим проблема, потому что гугл то выпустит (или уже выпустил), но вендоры очень не любят выпускать заплатки для собственных телефонов, особенно если телефону больше полугода.

cyanogenmod. Я на sgs2 не хочу на сток возвращаться. Слишком большая разница в плюшках и производительности.

И как это всё сделать через гугл плей?
Как уже говорили - ставить левые .apk - лютое ССЗБ. Сам андроид предупреждает.

Очевидно! Через гугл плей. Под видом няшной игрульки. Поставится игрулька, с блекджеком, с сервисом на свой магаз и вауля, ты уже под калпаком. Только касперыч спасет :)

Албанский вирус - разошлите меня всем своим друзьям и удалите все данные с диска «C:\»?, надо установить вирусованное приложение самостоятельно из apk?

Причем предварительно отключить запрет на установку таких приложений?

В Google Play для этого нужно иметь доступ к панели управления разработчика

Причем в самом google.play уже встроена проверка на этот эксплоит и приложение не опубликуют.

В Google Play для этого нужно иметь доступ к панели управления разработчика, незаметно это никак не получится.

Более того, Гугель приикрыл дырку и залить такое приложение в гуглоплей не получится.

Очевидно! Через гугл плей. Под видом няшной игрульки. Поставится игрулька, с блекджеком, с сервисом на свой магаз и вауля, ты уже под калпаком.

1. Быстро всплывёт, что вирус.

2. Есть dr.web android.

3. Любой софт, поставленный из маркета, можно удалить полностью через тот же маркет.

4. Без рута вряд ли сторонний софт сможет что-то дописать в систему. А если игрулька просит рута - можно слать её.

Прикрыл недавно, дыре много лет, сколько миллионов затрояненных андроидодевайсов сейчас спамят интернет теперь можно только гадать :)

А ты не из фанатиков, которые верят, что в линуксе нет вирусов, не? :)

Зачем рута просить? Дыры в ядре находят чуть ли не каждый месяц, поэтому рута можно получить и так.

Зачем рута просить? Дыры в ядре находят чуть ли не каждый месяц, поэтому рута можно получить и так.

Рабочие эксплоиты в студию.

Рабочие эксплоиты в студию.

А ты все еще в модераторах? Ты вкурсе чем карается выкладывание рабочих эксплойтов на паблик серверах? Очень странно было от тебя такое услышать. ЛОР уже не торт.

А вот с этим проблема, потому что гугл то выпустит (или уже выпустил), но вендоры очень не любят выпускать заплатки для собственных телефонов, особенно если телефону больше полугода.

В то время как самсунг выпустил фикс для S4, гугель еще думает, что ему делать со своими nexus.