LINUX.ORG.RU

Удаленное управление Android: взгляд специалиста

 , ,


0

0

Джон Оберхайд (Jon Oberheide), специалист по компьютерной безопасности, высказал свое мнение по поводу возможности несанкционированной удалённой установки приложений на платформе Android. По его мнению, злоумышленники могут получить возможность устанавливать вредоносное ПО от имени Google. Также он отметил возможность попадания вредоносного ПО в Android Market из-за низких критериев отбора приложений.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 1)

Буду первым: РЕШЕТО

wlan ★★
()

> Так же он отметил возможность попадания вредоносного ПО в Android Market из-за низких критериев отбора приложений.
У Эппла зато они высокие. Поэтому Эппл фошисты, а Гугл нет. Одной только эротики-порнухи в гугломаркете сколько!

Каждое приложение при установке сообщает пользователю, какими услугами оно будет пользоваться. Если не доверяешь - говоришь Отменить.

svu ★★★★★
()

Толксы

В них уже обсудили

proud_anon ★★★★★
()

Я как супер специалист по компьютерной безопасности, высказываю свое мнение что высказывания Джона Оберхайда (Jon Oberheide) - чушь собачья.
Так же отмечу, что есть возможность попадания вредоносного предмета в зад Джону Оберхайду (Jon Oberheide) из-за низкой разборчивости в своих половых партнерах.

e000xf000h
()

> ...мнение по поводу возможности несанкционированной удаленной установки приложений на платформе Android...

если в теме есть специаличты, можете прояснить — в «свободном Андройде» тоже есть эта функция?

(я про http://android.git.kernel.org/ )

или же речь в теме идёт только про проприетарные тивизированные Андройды?

mkfifo
()

вообще я правильно-ли понимаю что новость из разряда наподобие чегото типа этого:

"'специалист <такой-то> высказал своё мнение что сайт http://qip.ru/ может удалённо устанавливать на компьютер любое несанкционированное ПО!

...происходит это следущим образом — вы заходите на сайт, скачиваете очередной http://download.qip.ru/2010/qip2010.rar , а там в архиве может быть совершенно другое подставное ПО!!!

если злаумышленник теоретически сможет взломать сайт http://qip.ru/ , то он получит доступ устанавливать на компьютеры пользотелей вредоносное ПО от имени РБК!

"'

???

:-D

mkfifo
()
Ответ на: комментарий от mkfifo

>или же речь в теме идёт только про проприетарные тивизированные Андройды?


он там такую пургу протирает, это толпоеп сначала софт закидывает который эксплоиты в тело кидает,а потом с этим софтом лезет в маркет, дебажит его, и начинает ездить по ушам: «ой, я ВНЕЗАПНО увидел уведомления, что такие-то приложения были удалены, и я полез рабираться оказывается гугель такой нехороший, ай-яй-яй удалил мою софтину. Да епрст, ставил себе ломаный софт, и при этом его спокойно обновлял, гугель даже и не пошевелился чтобы удлить мой перацкий софт, а тут понимаешь, ай-яй-яй...

e000xf000h
()
Ответ на: комментарий от mkfifo

Не совсем, но тем не менее. Кстати, смешно вышло (:

stein_
()

> Так же он отметил возможность попадания вредоносного ПО в Android Market из-за низких критериев отбора приложений

Естественно. Для гуглов сверхзадача числом приложений в маркете догнать Джобса. Поэтому пока на модерацию положен болт.

northerner ★★★
()
Ответ на: комментарий от e000xf000h

Почитал его PDF, ясно, проплаченй высер Джона Оберхайда (Jon Oberheide) - это наезд на гугель, мол вот яббл софт в апсторе проверяет, а гугель шиш! Типа под видом нящного софта, котрый няшкой, и будет только получать доступ к сети, а на самом деле там будет руткит, который пропатчит ведроид, и сделает ботнет из вердроидов, по этому бросайте гугловские поделки, и скорей же покупайте продукцию Яббл.

Только Джон Оберхуй айд как-то вскользь обмолвился, что для запуска того приложения нужены рут права, а чтобы получить рут на теле... я к примеру шил другую прошивку. Так что руткит обычному юзеру не грозит.

e000xf000h
()
Ответ на: комментарий от svu

>У Эппла зато они высокие. Поэтому Эппл фошисты, а Гугл нет. Одной только эротики-порнухи в гугломаркете сколько! Каждое приложение при установке сообщает пользователю, какими услугами оно будет пользоваться. Если не доверяешь - говоришь Отменить.

Эппл фошысты не только поэтому. Другого способа легально установить приложение на гФон, кроме как через маркет, нету. А у андроида такая возможность есть. Поэтому хотелось бы ещё и иметь репозиторий, приложения в котором проверены на вредоносность.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от sansei

>На айфонах таких проблем нет )))

ага, на афонах другая проблема, 100% ботнет сети состоит из jailbreak'-нутых яблофонов, у не jailbreak'-нутых шанс получить руткит = 0

e000xf000h
()
Ответ на: комментарий от Ttt

>Поэтому хотелось бы ещё и иметь репозиторий, приложения в котором проверены на вредоносность.

Дык, есть нормальные форумы с которых и качается весь нужный софт, кидается на флешку и ставится, или ставится с компа,чем не проверенный репозиторий?

e000xf000h
()
Ответ на: комментарий от e000xf000h

> Дык, есть нормальные форумы с которых и качается весь нужный софт, кидается на флешку и ставится, или ставится с компа,чем не проверенный репозиторий?

Вот какой-нибудь тетрис накидает смсок на 4242 - поймешь.

northerner ★★★
()
Ответ на: комментарий от northerner

>Вот какой-нибудь тетрис накидает смсок на 4242 - поймешь.

Для того чтобы накидать смсок тетрису нужны рут привелегии, чтобы приложению дать рут привелегии, его нужно установить из под рута, чтобы получить рут на телефоне, это нужно шить заново прошивку, плюс шить рековери предыдущей версии, за такое секс еще и не в каждом сервисе возьмутся, по этому блондинке руткиты на телефоне не светят.

Так что, что бы там говорили анонимные аналлитики про дырявую безопасность - это досужие домыслы людей рассуждающих об устрицах их не пробовавших.

e000xf000h
()

wft

Оформи новость нормально.

power
()

По сравнению с iPhone «андроид» - ДЫРКА.

"- Это что, дырочки?

- Метко стреляли!"

(с) 1971, один из совковых фильмов

Bioreactor ★★★★★
()
Ответ на: комментарий от e000xf000h

>Дык, есть нормальные форумы с которых и качается весь нужный софт, кидается на флешку и ставится, или ставится с компа,чем не проверенный репозиторий?

Нравное тем, что это виндовз вей? Я думаю Вам не стоит объяснять плюсы реп =)

Бтв, а вообще для гуглофона реально такое реализовать? Было б оч хорошо. подключил репу и получаешь ток опенсорс, к примеру

anonymous
()
Ответ на: комментарий от anonymous

вродеж есть приложение аля пиратский маркет, чем не вариант?

anonymous
()
Ответ на: комментарий от anonymous

Нравное тем, что это виндовз вей? Я думаю Вам не стоит объяснять плюсы реп =)

Я для себя увидел несколько проблем в маркете: 1.) Нет кнопки-переключателя «Просмотр платных приложений/Просмотр бесплатных приложений», по этому для России доступен только каталог бесплатного софта, чтобы видеть платный, нужно изменить в файле build.prop строку (нужны root права и прошивка 2.1)

ro.build.fingerprint=Moto_RTEU/umts_sholes/umts_sholes/sholes:2.1-update1/SHOLS_U 1267742362:user/rkeys changed

На

ro.build.fingerprint=MOTO_RTGB/umts_sholes/umts sholes:2.0.1/SHOLS_U2_01.14.0/1264555607:user/rel-keys

2.) Мало категорий по которым рассортирован софт, нет тегов, ну и поиска по тегам соответственно, то есть чтобы найти к примеру rss-ридер, мне прищлось лопатить все приложения в категории «Новости и погода».

Бтв, а вообще для гуглофона реально такое реализовать? Было б оч хорошо. подключил репу и получаешь ток опенсорс, к примеру

Ну а почему бы и нет? Создать сервер с софтом *.apk, пакетный менеджер с гуем в виде приложения; ??????? PROFIT

e000xf000h
()
Ответ на: комментарий от anonymous

гугл уже реализовал

называется Android Market

anonymous
()

вброс детектед. а ведь некоторые комментарии ещё не читают. небось от эппла шпиончег -_-

tazhate ★★★★★
()
Ответ на: комментарий от Bioreactor

> Джейлбрейк не нужен. Задротство от «Саурика» в реальной жизни не нужно.

+1

Ноющим о «фошизме» Эппл с сотнями тысяч проверенных приложений в репозитарии этого не понять. Редкому пользователю захочется кидать «exe»-шник программы напрямую в телефон (или в iTunes).

pythonist
()

Качественный черный пиар, имхо.

ЗЫ: смартфонами не пользуюсь и не планирую

Gukl ★★★
()
Ответ на: комментарий от e000xf000h

>Для того чтобы накидать смсок тетрису нужны рут привелеги

лолшто ? :)

android.permission.SEND_SMS это уже «привилегии рута» ?

sS ★★★★★
()
Ответ на: комментарий от e000xf000h

Я как неспециалист прошу тебя прежде чем делать заявления, о великий специалист, посмотреть прежде себе в зад. Я видел у тебя оттуда что то торчало, кажется беспилотные дроны внедрили тебе банальный зонд.

Deleted
()
Ответ на: комментарий от e000xf000h

Деточка, для виндоуса тоже есть куча «проверенных» приложений и форумов, чем не нормальный репозиторий для арабов?

Deleted
()
Ответ на: комментарий от e000xf000h

> а чтобы получить рут на теле... я к примеру шил другую прошивку. Так что руткит обычному юзеру не грозит.

более того, даже на рученом телефоне все программы рутами автоматом не становятся - например в терминале нужно было набрать команду su, после которой выскакивал диаложек с предложением такой-то программе разрешить вседозволенный доступ или запретить.

bender ★★★★★
()
Ответ на: комментарий от Ttt

У меня к тебе вопрос. Я написал для андроида/айфона СМС-чат - вполне нормальный, гламурный, удобный - для его работы требуется разрешение отправлять СМС по определению. 1 сентября 2010го года он начинает рассылать платные СМС на короткий номер со всех телефонов и никого про это не спрашивает. Ты работаешь в службе проверки аппстора/гуглмаркета и твоя цель предотвратить попадание моего вредоносного кода на телефоны уязвимых пользователей - как ты будешь это делать?

bender ★★★★★
()
Ответ на: комментарий от bender

>более того, даже на рученом телефоне все программы рутами автоматом не становятся - например в терминале нужно было набрать команду su, после которой выскакивал диаложек с предложением такой-то программе разрешить вседозволенный доступ или запретить.

У вас su не той системы :)

sS ★★★★★
()
Ответ на: комментарий от e000xf000h

ему не нужны рут-привилегии - достаточно просто записи в манифесте, которая будет просить разрешить легальную отправку СМС для приложения. При установке менеджер пакетов это уведомление покажет и в общем то, что тетрис хочет отправлять СМС должно тебя насторожить, но глупым пользователям типа на такие предупреждения пофигу.

bender ★★★★★
()
Ответ на: комментарий от Ttt

>Если вредноносный код будет обнаружен

я как бы клоню к тому, что этот вредоносный код ты в моем дистрибутиве вообще фиг найдешь, как бы не старался - даже при доступе к исходникам его можно будет легко замаскировать, а в бинарном файле - тем более. никакая ручная проверка (да и автоматическую на данный момент тоже пока не придумали) не защитит пользователей от зловредов, которых они сами себе скачивают и сами же им разрешают выполнять в системе что им захочется. и аппстор в этом смысле уязвим настолько же, насколько уязвим гугл-маркет, хотя называть это уязвимостью вообще можно с натяжкой большой.

bender ★★★★★
()

И вообще по теме - если это и есть те самые уязвимости, появлением которых грозились после популяризации линукса в широких массах, то я рад. Технически система от них защищает настолько, насколько
это в принципе возможно - все таблички развешивает, предупреждения выводит - дальше уже идет уровень защиты, который машине не подвластен - защитить дурака от собственной глупости сможет только смирительная рубашка и мягкие стены.

bender ★★★★★
()
Ответ на: комментарий от mkfifo

>если злаумышленник теоретически сможет взломать сайт http://qip.ru/ , то он получит доступ устанавливать на компьютеры пользотелей вредоносное ПО от имени РБК! "'

А что смешного в том, что на телефон возможна установка неподписанного ПО? Надежда, что сайт квипа не взломают?

AVL2 ★★★★★
()
Ответ на: комментарий от e000xf000h

>Так же отмечу, что есть возможность попадания вредоносного предмета в зад Джону Оберхайду

+1000!)))))

anonymous
()
Ответ на: комментарий от anonymous

> ну Вы поняли к какому врачу Вам надо?

Товарищ Логопед, ну скажите уж, как правильно?

anonymous
()
Ответ на: комментарий от Deleted

>Я как неспециалист прошу тебя прежде чем делать заявления, о великий специалист, посмотреть прежде себе в зад. Я видел у тебя оттуда что то торчало, кажется беспилотные дроны внедрили тебе банальный зонд.

Ты сначало шило вытащи из своей задницы...

e000xf000h
()
Ответ на: комментарий от Deleted

>Деточка, для виндоуса тоже есть куча «проверенных» приложений и форумов, чем не нормальный репозиторий для арабов?

Ну так и пользуйся им, лошок.

e000xf000h
()
Ответ на: комментарий от bender

>ему не нужны рут-привилегии - достаточно просто записи в манифесте, которая будет просить разрешить легальную отправку СМС для приложения. При установке менеджер пакетов это уведомление покажет и в общем то, что тетрис хочет отправлять СМС должно тебя насторожить, но глупым пользователям типа на такие предупреждения пофигу.

согласен, о чем и речь.

e000xf000h
()
Ответ на: комментарий от bender

>защитить дурака от собственной глупости сможет только смирительная рубашка и мягкие стены.

не-не-не, только в биореактор, никакого принудительного лечения!

e000xf000h
()
Ответ на: комментарий от OxiD

>Зачем шить прошивку? Версия ядра известна, на моем tattoo сработал публичный эксплоит.

Ну так выкладывай же его скорее, что ждать-то?

e000xf000h
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.