Специализирующаяся на компьютерной безопасности компания Zimperium zLabs объявила (http://blog.zimperium.com/experts-found-a-unicorn-in-the-hea.../) о выявлении критической уязвимости в коде обработки мультимедийных данных платформы Android, позволяющей организовать выполнение кода через отправку сообщений MMS или Google Hangout. По предварительной оценке проблеме подвержено около 95% имеющихся в обиходе Android-устройств, т.е. потенциальными жертвами уязвимости являются 950 млн пользователей. Касающиеся уязвимости детали планируется объявить на конференциях Black Hat USA и DEF CON 23, которые пройдут 5 и 7 августа.
Проблема может быть эксплуатирована в момент начальной обработки сообщения без необходимости выполнения пользователем каких-либо действий. Для получения контроля над устройством достаточно знать номер мобильного телефона жертвы. В некоторых случаях атакующий может удалить эксплуатирующее уязвимость сообщение, при этом останется лишь уведомление о его получении. Причиной уязвимости является выход за границы буфера в библиотеке обработки мультимедийных данных, который можно инициировать при обработке ряда популярных форматов. Кроме передачи сообщений атака также может быть совершена и через другие приложения, в том числе при открытии специально оформленных страниц в web-браузере.
Проблеме присвоено кодовое имя Stagefright и она оценивается как самая опасная уязвимость в Android за всю историю существования платформы. Уязвимость проявляется во всех версиях Android, начиная с выпуска 2.2. На устройствах с Android 4.1 и более новыми выпусками выполнение кода злоумышленника будет ограничено sandbox-окружением приложения и связанным с ним полномочиями (чтение и отправка сообщений, доступ к адресной книге). В старых версиях Android, которые составляют 11% от общего числа используемых устройств, атакующий может получить полный доступ к системе.Несмотря на то, что компания Google намерена в течение считанных часов представить патчи с исправлением уязвимости, проблема усугубляется тем, что для защиты требуется обновление прошивки. Подобные обновление выпускаются производительями с большим запозданием и только для актуальных моделей устройств. Пользователи смартфонов, выпущенных более 18 месяцев назад, скорее всего останутся без исправления. Для того чтобы избежать одного из проявлений уязвимости рекомендуется использовать браузер Firefox, в котором данная уязвимость уже устранена начиная с выпуска Firefox 38 (https://www.mozilla.org/security/known-vulnerabilities/firef...) (вероятно, имеется в виду уязвимость CVE-2015-2717 (https://www.mozilla.org/en-US/security/advisories/mfsa2015-55/), которая могла приводить к краху при разборе некорректных мета-данных в файлах MP4).
URL: http://www.theregister.co.uk/2015/07/27/android_phone_text_flaw/
Новость: http://www.opennet.me/opennews/art.shtml?num=42677
Жесть. :( У меня смарт от пчелайн. У них вообще нет понятия обновления системы...
ну так вы не в теме - у вас прошивка есть, только платная. Бегом в магазин за новой прошивкой :)
Покупайте наших слонов! Обязательно новых.
а если бы Гугл замкнул на себя все процессы, как сделал Microsoft, а не раздавал на откуп всяким леновам - проблема действительно была бы устранена в течении пары часов...
тогда бы о проблеме никто и не узнал...
...так быстро бы ее пофиксили. Ну даже не знаю, что лучше — быстро пофиксенный эксплойт, о которои никто и не узнал, или же эксплойт, который уже никогда не закроют, но о котором узнали все?
Нет, он продолжал бы существовать, но о нём никто, кроме эксплуатирующих товарищей, не знал бы. До момента выхода эксплоита на чёрный рынок.
с чего вдруг?
>Microsoft
>проблема действительно была бы устранена в течении пары часов...На ноль поделил. Лучше вместо курсов MS-миссионеров, запишись на основы математики.
>в течении пары часов...И русского языка.
Ну на самом деле windows mobile можно хорошо так за многое пинать, но с секурными обновлениями у них лучше. В этом плане ведроид - это днище из днищ.
Почему? В CyanogenMod, например, эти дыры закрыты сразу, после обнаружения.
Потому что приводишь в пример исключения, а не обычную ситуацию.Этак половина устройств с android на данный момент с версией <= 4.3
Они точно не получат обновления. И это не только их проблемы, так как зараженные устройства организуют ботнеты, которые атакуют сервисы и рассылают спам.И про сразу закрытые дыры: это ты на ночнушке цыганомода сидишь?
Это не исключение, а норма. Зачем пользоваться недооткрытой ОС, если есть открытый вариант?Да, это nightly build.
Затем, что дооткрытая на процессорах MTK не работает.
Поможешь скомпилить CyanogenMod? http://4pda.ru/forum/index.php?showtopic=651024
Хочу тоже на открытой. Это я к тому, что не у всех ни то что НЕпрограммистов, а программистов область знаний связана с операционными система Linux и позволяет для каждого устройства для которого даже исходники ядра есть открытые скомпилировать Androir (фрэймворкота нету).
Не туда ответил, вопрос на ступеньку выше.
CyanogenMod на кетайфонах?
У меня, например, Philips W732.Я знаю, что мобильный Филипс это давно китай, но понятие "китайфона" к этой железке неприменимо: оно вполне себе официально продавалось в России, имеет сертификат Ростеста и проч.
> CyanogenModЭто который стал давать стабильные версии только за денюжку, а всем остальным альфа релизы для тестирования?
>> CyanogenMod
> Это который стал давать стабильные версии только за денюжку, а всем остальным
> альфа релизы для тестирования?Пруф?
Это в 4.4 ветке то? Кто в здравом уме будет ставить 5 андроид, это же бета, которую сменит 6й релиз скоро.
Для большинства устройств его не было и не будет, как и обновлений от производителей.
Windows Mobile давным-давно мёртв, и никаких обновлений безопасности для него не выпускается уже лет несколько.
Я честно не знаю как эту ерунду называть, думаю не принципиально. Windows 10 называется Mobile, a не Phone.
> Ну на самом деле windows mobile можно хорошо так за многое пинать,
> но с секурными обновлениями у них лучше. В этом плане ведроид
> - это днище из днищ.Когда... (боже, что я говорю) ЕСЛИ у windows mobile будет под 1 млрд юзеров, вот тогда и поговорим о безопасности этой платформы.
>The distribution of these incremental updates may be controlled by the mobile operator or the phone manufacturer from which you purchased your phone(Цитата с сайта MS)
Где разница?>and installation will require that your phone have any prior updates
Кстати об обновлениях. Давно интересуюсь: пока на продакшн сервере или еще лучше hyper-v хосте часами висит надпись наподобие "Применяются обновления. Не выключайте компьютер", где MS рекомендует прятаться виндоодминам?
> часами виситДа ведь ты захлебнёшся своим жиром, деточка!
> вы настолько не дружны с головой, что вам надо доказывать надежность централизованных
> обновлений безопасности?А централизованность тут не при чём. Мы тут про нежно тобой любимых проприерастов. Пруфы, что M$ исправляет дыры сразу, как только находит. Пруфы, что вообще исправляет до того, как эксплойты появятся в открытом доступе и поднимется хай. Пруфы, что M$ проводит хоть какой-то аудит собственного кода, учитывая какой багаж костылей они тащат для совместимости.
То же самое по Apple.
Жду.
P.S. Заявления самих M$/Apple, и прочие пресс-релизы и маркетоидный шлак за пруфы не считаются, они принципиально непроверяемы в силу закрытости кода.
>А централизованность тут не при чёмну а я о ней.
>Мы тут про нежно тобой любимых проприерастов
fail, это вы про них говорите. я про другое вообще-то.
> Пруфы, что M$ исправляет дыры сразу, как только находит
Мы уже установили выше, что "несколько часов" это больше гипербола, с отсылкой к тексту новости.
Вообще речь идет не сколько о времени, сколько о банальной невозможности доставки исправления очень опасных дыр в ведрах. Есть что сказать или сливаемся?
> Мы уже установили выше, что "несколько часов" это больше гипербола, с отсылкой
> к тексту новости.То, что они вообще что-то исправляют, я так понимаю, тоже.
> Вообще речь идет не сколько о времени, сколько о банальной невозможности доставки
> исправления очень опасных дыр в ведрах. Есть что сказать или сливаемся?С точки зрения Гугла — это вообще не их проблемы, они не являются вендорами той кучи смартов, которая есть в продаже. Они просто предоставляют всем желающим открытую мобильную ОС. Остальное (бекпортирование патчей безопасности, доставка обновлений) — дело вендора. При попытке что-то там централизованно контролировать Ведроид бы просто не взлетел. Уже тогда был Тизен, тогда открыли код Симбы, тогда появился Маемо и т.д. Так что про централизованность и контроль — бред, это невыгодно ни Гуглу, ни вендорам.
С точки зрения пользователя, если он заботится о своей безопасности, можно попробовать кастомные прошивки. Или не покупать лопаты.
Насчёт сливов — ты с такими словами, а заодно со словом «слабо», можешь в детский садик идти провоцировать. Тем более, что уже успел отказать от своих слов про «часы на исправление», а то, что там вообще что-то аудитится и исправляется, до того, как всех поимеют, не можешь доказать.
Куда, блин, делся кусок ветки?! (((
блииин. мы же только начали.резюмирую - гуглу надо бы подумать о подобного рода кейсах. нельзя перекладывать вопросы безопасности на 100%, ответственность у них общая.
> блииин. мы же только начали.Умгу, я только нажал на ссылку в почтовике и меня кинуло на всю новость, в пустоту. ((
> резюмирую - гуглу надо бы подумать о подобного рода кейсах. нельзя перекладывать
> вопросы безопасности на 100%, ответственность у них общая.Не согласен. Ответственность на тех, кто гребёт бабло с юзеров, то есть с вендоров смартов. Но они козопасы.
> Не согласен. Ответственность на тех, кто гребёт бабло с юзеров, то есть
> с вендоров смартов. Но они козопасы.говорят мелкие по 10-15 зелени берут с каждого дроида. засим повесим вину на МС и закрываемся.
> говорят мелкие по 10-15 зелени берут с каждого дроида. засим повесим вину
> на МС и закрываемся.Им же не все платят, емнип.
Только почему-то те, кто не платит, не выставляют цену на эти $10-15 ниже аналогов от прогнувшихся.
Давно цены на китайские смарты видел? Там не на 15 баксов дешевле, а порой в разы.
> Когда... (боже, что я говорю)Да-да. Двойные стандарты.
>> Когда... (боже, что я говорю)
> Да-да. Двойные стандарты.Да нет, просто это личное мнение о том, что у MS не пойдут телефоны так массово, как андройды и айфоны.
Жесть. Нужно покупать #nexus и использовать #firefox ;)
и что с #nexus потом делать после 2 года, ведь она тоже перестанет получать любые обновления?
А сколько лет нексусу 4? Он до сих пор получает обновы. Плюс кастомы никто не отменял
Нормальный человек в среднем меняет свой телефон раз в 10 месяцев. Думаю Google ни в чём не виноват, если такие у него пользователи, которые по несколько лет насилуют один и тот же девайс.
Хм, мой телефон на Android 1 летней давности имеет процессор 2 ядра по 1.2GHz и RAM 1Gb. Мой первый компьютер имел примерно такую же мощность. Нетбуки 3 летней давности имели такую же мощность. Вы хотите сказать дляпозвонить/будильник/блокнот/просмотр_pdf/doc/картинки/фото/видео/музыка/карты/браузер/календарь/словарь/skype/точка доступа
нужно обязательно выкинуть его и купить телефон с 8 ядрами и 2Gb оперативы про сто так?
> Нормальный человек в среднем меняет свой телефон раз в 10 месяцевТ.е. он покупает невнятное нечто из подвала дядюшки Ляо, которое служит меньше года?
Или меняет вполне рабочую вещь (ибо если она за этот срок устарела до невозможности нормального использования - см. пункт первый) просто что бы иметь более новую?
Ну, тогда у меня для вас насчет "нормальности" плохие новости -- нормальные люди называют такие "нормы" немного по другому. Скромным "потре*лятство" :)
> Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.O_o у вас понятие о нормальности сильно искажено. Лечится вам надо, сперва признайте, что больны, это первый шаг.
> Лечится вам надо, сперва признайте, что больны, это первый шаг.Видать, потреблондинка.
Подарили (с)
> Видать, потреблондинка.Чего, даже не дрюкается уже? Или ты на какие-то стрёмные вещи возбуждаешся? Знаем мы ваших.
> Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.Зачем так долго! Купил-позвонил-выкинул!
> Зачем так долго! Купил-позвонил-выкинул!К этому и стремимся! Но не все сразу!
Вон, раньше телефоны стоимостью заметно более сотни зелененьких -- только у серьезных дядей и тетей были (ну или у гиков и прочих маргиналов). А теперь тройка-четверка сотен за телефон на годик-полтора -- уже "дешефка!" :)
> Нормальный человек в среднем меняет свой телефон раз в 10 месяцев. Думаю
> Google ни в чём не виноват, если такие у него пользователи,
> которые по несколько лет насилуют один и тот же девайс.LOR снова протекает?
это не ЛОР, это ЖЫР
>> Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.
> Нормальный человекСколько ошибок в словосочетании «Безмозглый потребитель». =)
Нормальный человек меняет телефон тогда, когда ему это становится нужно.
> Нормальный человек меняет телефон тогда, когда ему это становится нужно.Не. Вот этим нужно раз в 10 месяцев. подозреваю - флешка переполняется и сразу в магазин.
> Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.Что за сказочный бред??
> Нормальный человек в среднем меняет свой телефон раз в 10 месяцев. Думаю
> Google ни в чём не виноват, если такие у него пользователи,
> которые по несколько лет насилуют один и тот же девайс.Вы хотели сказать раз в 10 лет? Чем это мобильники такие особые, что я должен их каждый год менять? Ноут 7 лет здравствует (ну новому 2-3 года), авто под 15 лет, холодильнику скоро будет 20 лет. ЧЯДНТ?
Аппаратно меня мой смартфон полностью устравивет. Отсуствие прошивок, нормальных репозиториев и обновлений из них - не мой косяк.
Ну ты в другую сторону несёшь. Аккумулятор живёт этак года два (либо совсем вздуется, либо сильно ослабеет). Смартфон штука, которая постоянно в руках. Ты её достаешь из разных мест, запихиваешь в другие места и прочее... Забыл, задумался, и вот ты смартфон утопил в бассейне. Просто уронил пару раз неудачно на кирпич, и всё. Так что среднему человеку трудно больше 2 лет сохранить его во вменяемом состоянии.
Я, видимо, не средний человек. У меня даже аккумулятор еще на уровне, да и внешний вид (без чехла) тоже.
У меня стопка виндоус мобаил смартов лежит. Некоторым по 10 лет. Все внезапно рабочие. Аккум можно заменить при желании и все.
А с дуру можно и это самое из титана сломать.
> Аккумулятор живёт этак года дваМожет, на ваших iВибраторах это и так...
Я для себя сделал другой вывод - "не нужно покупать аппараты на android"
Вывод характерный для понни. Не забудь написать сюда свой вывод когда будет найдена массовая уязвимость для продукции Apple.
При чем тут apple... Ну да. У них тоже с секурными апдейтами намного лучше.
А вот с известной, критической, незапатченной уязвимостью тебя будут иметь и в хвост и в гриву.PS: Чини детектор, пишу с ubuntu phone.
> При чем тут apple... Ну да. У них тоже с секурными апдейтами
> намного лучше.У Apple все "божественно" с секурными обновлениями.
27 мая обнаружили баг, когда смс с арабскими сиволами перезагружает телефон с ios 8.3.
И как отреагировали в Apple?
"Мы исправим это в следующем обновлении!"
http://www.apple-iphone.ru/news/oficialno-apple-ispravit-osh.../А следующее обновление вышло 30 июня!
"iOS 8.4 вышла 30 июня 2015 в 18.00 по московскому времени."
http://www.apple-iphone.ru/tag/ios-8-4/Целый месяц!
Да, было такое.
Слово "божественно" - это уж твои выдумки, я написал лучше - и это факт. Не закрытая атака DoS в течении месяца, намного лучше всего того, что оставляется на андроидах без обновлений.
Гугл патч уже выслала всем производителям. А что будут с ним делать оные это только им и известно.
Гугл просто делает ОС для телефонов, не нравится что сделали с ней мануфактурщики. Сделайте свое! О чем вы ноете!
> Слово "божественно" - это уж твои выдумки, я написал лучше - и
> это факт. Не закрытая атака DoS в течении месяца, намного лучше
> всего того, что оставляется на андроидах без обновлений.Слово "обжественно" - это моя характеристика того, как Apple закрыла эту дыру.
> Да, было такое.
Ну собственно, давайте теперь посмотрим на реакцию google по факту, а не по вашим догадкам.
И только после этого будем сравнивать.
А пока идет сравнение между "факт о том, как закрывает дырки apple" и "личное мнение, как это сделает google".
> давайте теперь посмотрим на реакциюТут и смотреть ничего не надо, уже много раз это видел, когда критические уязвимости остаются на ведроидах без заплаток, и которые и щас успешно эксплуатируются. Как-будто в первый раз.
Да и так понятно, что обновления для нексусов уже пришло (или вот-вот придёт, не суть). Если говорить, что кроме нексусов ведроидов нет, то в принципе всё нормально.
И это не только вина вендоров, можно же придумать было какую-нибудь наверно ерунду типа ubuntu core, чтоб разграничивать драйверную часть и прошивку, чтоб можно было как-то обновить.
PS: ну можно и дальше заводить пластинку про золотой гугл и нехороших вендоров, но только пользователю то от этого не легче
> PS: ну можно и дальше заводить пластинку про золотой гугл и нехороших
> вендоров, но только пользователю то от этого не легчеПросто у пользователей андройда есть выбор.
Можно взять такой телефон с андроидом, для которых будут обновления от вендора, или от гугла, или хотя бы есть развиваемая прошивка типа cyanogen.
И можно будет получать обновления безопасности.
А у пользователей apple такой возможности нет.
"Ждите следующей версии".
Ну ты сравнил. Месяц vs Никогда.
>Ну ты сравнил. Месяц vs Никогда.Ну ты сравнил. Месяц vs Уже.
>Проблема также устранена в альтернативной сборке PrivatOS 1.1.7 и в ночных сборках CyanogenMod 12.0 и 12.1
> Вывод характерный для понни. Не забудь написать сюда свой вывод когда будет
> найдена массовая уязвимость для продукции Apple.будет массово выпущено обновление. А где там обновление на аппараты от Билайна? или LG ?
нравится хавать не фикшеные прошивки - давайте.. другого вам Google не предоставил.
>> Вывод характерный для понни. Не забудь написать сюда свой вывод когда будет
>> найдена массовая уязвимость для продукции Apple.
> будет массово выпущено обновление. А где там обновление на аппараты от Билайна?
> или LG ?
> нравится хавать не фикшеные прошивки - давайте.. другого вам Google не предоставил.Как раз таки Google со своим Nexus обновления имеет, пусть даже через сообщество с его CyanogenMod, и имеет его не вопреки гугл, так как драйвера и исходники гугл выкладывает своевременно и как надо.
Ибо не нужно мешать спецслужбам открывая исходники и показывая дыры народу.
> Я для себя сделал другой вывод - "не нужно покупать аппараты на
> android"Был бы выбор - не покупали бы.
В теории Sailfish, если откроют исходники. Джва года жду уже.
И чего ради это проблема для людей на техническом форуме? наверняка патчи к прошивкам для большинства устройств появятся быстро. Ну да, не от производителя - и что? Плюс альтернативные прошивки вроде MIUI и подобных - не вижу проблем.
>наверняка патчи к прошивкам для большинства устройств появятся быстроОт души посмеялся.
А что смешно?
CM12 уже исправили, CM11 на подходе. Большинство альтернативных прошивок основано на CM.
> А что смешно?
> CM12 уже исправили, CM11 на подходе. Большинство альтернативных прошивок основано на CM.CM12 уже вышел из ночных билдов и стабилизируется ?
А что не так с ночными билдами? Они вполне стабильны.
Со сколькими моделями оная совместима (при мировом объёме продаж этого хлама в 200 млн штук)?
> Со сколькими моделями оная совместима (при мировом объёме продаж этого хлама в
> 200 млн штук)?263 модели поддерживаются официально, 156 - в разделе "unoficially supported" (это грубый подсчёт, без учёта вхождений типа "all Sony Xperia devices", их полно и лень считать), плюс овер дофига стоят в очереди на принятие в основную ветку - эти прошивки можно найти на xda.
>> Со сколькими моделями оная совместима (при мировом объёме продаж этого хлама в
>> 200 млн штук)?
> 263 модели поддерживаются официально, 156 - в разделе "unoficially supported" (это грубый
> подсчёт, без учёта вхождений типа "all Sony Xperia devices", их полно
> и лень считать), плюс овер дофига стоят в очереди на принятие
> в основную ветку - эти прошивки можно найти на xda.Сколько из них актуальны, находятся в продаже и имеют вменяемую цену, а не по 300$ за керпичик?
>>> Со сколькими моделями оная совместима (при мировом объёме продаж этого хлама в
>>> 200 млн штук)?
>> 263 модели поддерживаются официально, 156 - в разделе "unoficially supported" (это грубый
>> подсчёт, без учёта вхождений типа "all Sony Xperia devices", их полно
>> и лень считать), плюс овер дофига стоят в очереди на принятие
>> в основную ветку - эти прошивки можно найти на xda.
> Сколько из них актуальны, находятся в продаже и имеют вменяемую цену, а
> не по 300$ за керпичик?Я вот пытался понять, где у нас здесь камень преткновения.
Триста баксов - это такой себе бюджетный смартфон, а нормальные начинаются от 500, не?
> Сколько из них актуальны, находятся в продаже и имеют вменяемую цену, а
> не по 300$ за керпичик?Отличный вопрос. А, главное, в тему :)
> Сколько из них актуальны, находятся в продаже и имеют вменяемую цену, а
> не по 300$ за керпичик?Тебя уже куда-то понесло. Актульные и так обновятся (может быть)
>263 модели поддерживаются официальноИз них большая часть - Google, LG и Samsung.
Один Хуавей (занимающий 20% мирового рынка) чего стоит - три некромодели. Три некромодели на одного из крупнейших производителей в мире Карл. Две модели Xiaomi (!), один Acer, совсем один.
>156 - в разделе "unoficially supported"
Без GPS, WI-Fi, а то и без звонков. Не нужно.
>>263 модели поддерживаются официально
> Из них большая часть - Google, LG и Samsung.
> Один Хуавей (занимающий 20% мирового рынка) чего стоит - три некромодели. Три
> некромодели на одного из крупнейших производителей в мире Карл. Две модели
> Xiaomi (!), один Acer, совсем один.Ну вы же не покупаете железо, которое работает только под Windows? Зачем тогда брать телефоны, которые не работают с нормальными ОС? Выбор там, на самом деле, вполне приличный - есть ещё Sony, HTC, Motorola.
>>156 - в разделе "unoficially supported"
> Без GPS, WI-Fi, а то и без звонков. Не нужно.Вот неправда, неофициальные сборки обычно полнофункциональны. Есть мелкие баги, но все основные функции работают. Но я говорю о сборках под железки известных производителей, разумеется.
> Три некромодели на одного из крупнейших производителейКупить железку, на обновы и поддержку которой забил болт производитель и для которой не доступны альтернативы типа омнирома или бубунты -- это, как бы, двойной ССЗБнизм! Карл! :)
Отвечая на два выше написаных поста.
Не путайте красное с горячим.
Речь о том, что есть проблема - в самом лучшем случае половина всех ведро девайсов не обновляется + отсутствие возможности их перепрошивки (не нужно тут с ПК сравнивать, нужно очень постораться для нахождения ноута на который не станет ни один Linux дистр, даже с залочеными хромогобуками и маками нормально ситуация обстоит, в сравнении с ведром). Собновлениями для так называемых "поддерживаемых" девайсов ситуация тоже интересная - сборки весьма разнятся, нигде кроме Нексус "чистого" ведра просто нет, производители пересобирают всё по своему усмотрению вовсе не только из-за драйверов. так что это самая несвободная свободная платформа и по кривости и дырявости превосходит iOS и Win8 вместе взятые.
Для непонятливых - я не имел в виду патчи от производителя. И даже от цианогена. Там же почти наверняка вопрос в том, чтобы подменить какую-то либу, которая будет общей для всех прошивок одной версии. А тех, кто способен в нужном формате это запаковать, чтобы какой-нибудь CWM подхватил и обновил - вагон.
Crazy Alex:
"Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера, обработка функциями, принимающими длину буфера, переаллокация при нужде... И библиотек, которые всё это делают - вагон, если руками лень.
В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские."
5.10.2015: http://www.opennet.me/opennews/art.shtml?num=43090#4
Значит можно просто обновить приложение для получения MMS (messenger) и chrome.
и android system webview.
это кстати только что обновилось через маркет.
Ну это только для android >= 4.4
> Значит можно просто обновить приложение для получения MMS (messenger) и chrome.А
""в коде обработки мультимедийных данных платформы Android""
что тогда значит??Успехов в обновлении с маркетов lib[jpeg]-ов и всяких биоников.
Зато через MMS или браузер взлом не произойдёт.
> Значит можно просто обновить приложение для получения MMS (messenger) и chrome.Лучше скажите как отключить прием ммс =)
Может, глупый вопрос, но эта уязвимость касается Цианогена? Кто-нибудь знает?
Я знаю.
http://blog.zimperium.com/experts-found-a-unicorn-in-the-hea.../
Я просто оставлю это здесь:http://blog.zimperium.com/experts-found-a-unicorn-in-the-hea.../
Ахаха, эпично ))
Гуглу стоило бы перенести максимум компонентов в маркет и обновлять их напрямую.
> Гуглу стоило бы перенести максимум компонентов в маркет и обновлять их напрямую.Но вот всё больше производителей напильником вырывают из своих "поделий" гуглосервисы, для экономии на отчислениях корпорации добра, так что счастливым обладателям 65% ведрофонов это не поможет уж точно.
Фрагментация платформы, однако.
Правильно и делают. Если они (гугль) хотят регистрации и иметь контроль над устройством для того чтобы дать скачать обновления, то пшли они подальше.
Качественная альтернатива это хорошо, но, как правило гуглозонд заменяют самопальным зондом от производителя или стороннего разработчика. Ширпотребные устройство и вовсе идут "без ничего". Ну и в довесок, именно такие устройства и не получают обновления в принципе.
Ну если бы гугль не делал свой маркет ущербным by design, то никто бы не возбухал. Пока что наколенная альтернатива маркету фдроид на голову его превосходит. А другие службы гугля - вообще дело десятое.
f-droid сам пользуюсь с удовольствием (кривым поделиям гугла и прости-господи яндухса до него как до небес), но там многих вещей нет, поскольку он "свободный". Как альтернативу для себя - скачивание непосредственно с сайта разработчика приложений (но многие распространяют только через маркеты).
В общем и целом - цирк, смарт с firefox os мне куда больше нравится + производитеольность на уровне.
Если в настройках удалить APN для MMS, уязвимость можно будет эксплуатировать?
думаю нет. но это слишком радикальное решение
> думаю нет. но это слишком радикальное решениеНа Лоре подсказали, что APN нужна только для отправки, что-то типа указания шлюза. А то я лично MMS никогда не пользовался, жаль в старых CM нету Privacy Guard, а удалять мессенджер что-то не хочется....
Miui поддвержена данной уязвимости?
Адрес отправителя скрыт: (Без темы) 27 июлРазмер сообщения: 37 кб
Загрузить
Не нажимайте эту кнопку!
Из текста новости выходит, что ненажимать на кнопку уже поздно.
"Уязвимости подвержены версии 2-2.4.3" Блин, у меня как раз 2.2.1! И что теперь делать, если я получил такое сообщение? Устанавливать криогенмод? А что если моя модель телефона слишком старая, и криогенмод для неё не собирали?
А вот таким образом проблема не решается?
СООБЩЕНИЯ -> НАСТРОЙКИ -> MMS -> АВТОПОЛУЧЕНИЕ (СНЯТЬ ГАЛКУ)
там конечно по взрослому это называется по другому, умными словами, но смысл именно такой:ммс - это способ отправить много контента втиснув в размер СМС 160 символов.
по этому в 160 символов шлют ссылку на сайт.эта галка автополучения влияет на автоматическую закачку странички по этой ссылке.
а уязвимость в обработке пришедшей смс. задолго до начала получения странички. что там будет потом - автоматически или вручную - совершенно не важно. оно уже случилось.
> а уязвимость в обработке пришедшей смс. задолго до начала получения страничкиПозвольте усомниться, сэр! Из новости следует, что ошибка всё же при обработке закчанного сообщения. Например, что преступник может удалть сообщение и останется только уведомление о его получении.
>> а уязвимость в обработке пришедшей смс. задолго до начала получения странички
> Позвольте усомниться, сэр! Из новости следует, что ошибка всё же при обработке
> закчанного сообщения. Например, что преступник может удалть сообщение и останется только
> уведомление о его получении.Ну естественно, разумный злоумышленник поставит свой софт и примет меры к скрытию своей активности.
> а уязвимость в обработке пришедшей смс.в оригинале так: "specially crafted media file delivered via MMS".
>> а уязвимость в обработке пришедшей смс.
> в оригинале так: "specially crafted media file delivered via MMS".В оригинале реклама "покупайте наш антифирус"
"For the mobile devices without zIPS protection, fixes for these issues require an OTA firmware update for all affected devices. "
"Устройства с установленным "zIPS защита" не подвержены этой напасти и могут обойтись без обновления прошивки."
> В оригинале реклама "покупайте наш антифирус"
> "Устройства с установленным "zIPS защита" не подвержены этой напасти и могут обойтись без обновления прошивки."Ну так кушать хотят все.
Интересно, с чего бы им, забесплатно предоствалять патчи/"решением проблемы" для устройств, на которые вендоры (взяв нехилую денюжку(!)) положили бооооольшой и толстый болт?
Это уже ССЗБзмом попахивает.
> А вот таким образом проблема не решается?
> СООБЩЕНИЯ -> НАСТРОЙКИ -> MMS -> АВТОПОЛУЧЕНИЕ (СНЯТЬ ГАЛКУ)Похоже, что достаточно, т.к. речь идёт о "if you receive a booby-trapped MMS and accidentally view it", т.е. получите и случайно посмотрите его, + надо отключить/удалить broken xmpp aka Hangouts.
>(There are a couple of workarounds: one is to root your Android mobile and disable Stagefright. Another is to remove or disable Google Hangouts, the default messaging app on Android, which processes video messages automatically. Even without Hangouts, if you receive a booby-trapped MMS and accidentally view it, you'll still be infected. Finally, you could tweak your carrier settings to not receive MMS texts.)
> А вот таким образом проблема не решается?
> СООБЩЕНИЯ -> НАСТРОЙКИ -> MMS -> АВТОПОЛУЧЕНИЕ (СНЯТЬ ГАЛКУ)А я поставил Прием MMS > "отключено". Этого хватит? (у меня написано именно так)
Ещё hangouts надо отключить.
Это что? Просто не видел такого, у меня сервисов гугла нету, модель Nokia X2 это бы эксперимент Microsoft над Android и там сервисы от Microsoft, а не от гугл.
> Это что? Просто не видел такого, у меня сервисов гугла нету, модель
> Nokia X2 это бы эксперимент Microsoft над Android и там сервисы
> от Microsoft, а не от гугл.Ясно. Hangouts - это немного изменённый и, имхо, подпорченный протокол Джаббера.
В ситуации отсутствия обновлений для подавляющего большинства ведрофонов, эта дыра так навсегда и останется
Хорошо что на мой Н9 давно уже все забили и я не знаю о его уязвимостях, и сплю спокойно.
"позволяющей организовать выполнение кода через отправку сообщений MMS или Google Hangout"Надо линять на цианоген
> "позволяющей организовать выполнение кода через отправку сообщений MMS или Google Hangout"
> Надо линять на цианогенНадо. Оно реально лучше всех существующих прошивок по всем параметрам, практически.
Только трудность установки всё портит, я дважды пытался приступить к этому но бросал по причине того, что надо кучу разных утилиток скачать неизвестно откуда...
> Только трудность установки всё портит, я дважды пытался приступить к этому но
> бросал по причине того, что надо кучу разных утилиток скачать неизвестно
> откуда...Да там требуется стандартный adb/fastboot из пакета разработчика Android (для большинства моделей), либо odin/heimdall для устройств от самсунга. Разве это куча?
Вообще там всё предельно просто. Надо с помощью подходящей утилиты (из тех, что описаны выше) переписать раздел recovery его продвинутой версией (то есть записать туда twrp или clockwork recovery), потом загрузиться в свежеустановленный режим восстановления и из него установить CyanogenMod. Рут уже в комплекте, установка сервисов гугл - по желанию. Реально операция занимает минут 10, из них основное время уходит на первый запуск CyanogenMod, который проходит без участия пользователя. Подробнее можно почитать в вики CyanogenMod, в разделе, относящемся к вашей модели.
Иногда бывают грабли в виде, например, дополнительно закрытого производителем раздела system - тогда времени потребуется больше, гуглите "s-off".
А вот насчет odin и подобных "утекших от производителя" я не уверен. Код то закрыт. И чем получается лучше установка неизвестно как переделанной прощивки от дяди Вани? Та же "Гсборка" в итоге.
Единственный выход на сегодня получить нормальный телефон - это покупка телефона для которого уже существуют: TWRP/CWM, CyanogenMod, PrivatOS, ParanoidAndroid, Replicant.Причём нужно проверить список их багов, чтобы работало всё оборудование и посмотреть кто и как создавал эти прошивки/моды_recovery (чтобы не оказалось, что исходники вообще левые, а прошивка - переделанная из оригинала).
То есть максимально безапасно - с официального сайта CyanogenMod в разделе стабильных или прошивки вроде PrivatOS, которые вообще выпущены вместе с устройствами.
> А вот насчет odin и подобных "утекших от производителя" я не уверен.А кто там "утёк" у производителя?
Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с новыми устройствами самым жутким образом, надо собирать из гита для более или менее удачной работы.
>> А вот насчет odin и подобных "утекших от производителя" я не уверен.
> А кто там "утёк" у производителя?
> Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с
> новыми устройствами самым жутким образом, надо собирать из гита для более
> или менее удачной работы.На сколько я знаю odin утёк. Как и например NokiaCare от Nokia (да у них тоже есть Android телефоны).
>> А вот насчет odin и подобных "утекших от производителя" я не уверен.
> А кто там "утёк" у производителя?
> Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с
> новыми устройствами самым жутким образом, надо собирать из гита для более
> или менее удачной работы.Как и OPST от Qualcomm
> Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с
> новыми устройствами самым жутким образом, надо собирать из гита для более
> или менее удачной работы.В описании написано, что она только для S серии, к сожалению у меня Samsung GT-B5510 Galaxy Y Pro
>> Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с
>> новыми устройствами самым жутким образом, надо собирать из гита для более
>> или менее удачной работы.
> В описании написано, что она только для S серии, к сожалению у
> меня Samsung GT-B5510 Galaxy Y Pro"Users have reported success with a wide variety of Samsung's mobile phones and tablets from all around the world. However, we officially test on the following devices:
GT-I9000
GT-I9100[T]
GT-I9300
GT-I9505
SGH-I727
SGH-I777
SGH-I927
SGH-I797"http://glassechidna.com.au/heimdall/
У нас с вами какие-то разные интернеты.
> У нас с вами какие-то разные интернеты.Хотя, с другой стороны, я не нашёл сборки CyanogenMod под ваш аппарат.
>> У нас с вами какие-то разные интернеты.
> Хотя, с другой стороны, я не нашёл сборки CyanogenMod под ваш аппарат.CyanogenMod нету, есть кстом, но собранный вроде как из исходников, по крайней мере ссылка на исходники ядра на GitHub есть. Этот телефон у меня уже 3 месяца лежит мёртвый, ушел в вечную загрузку, на форуме не одна запись есть и у многих так.
ШИТО? Какие утилитки? Это тогда не CyanogenMod, а скорее всего модефицированная прошивка на его основе или вообще на основе Android.Сама прошивка CyanogenMod представляет собой архив, которые распаковываясь помещается в файловую систему.
"Прошивка" происходит через некий аналог "bios" (называется recovery), оригинал этой утилиты умеет только сбрасывать настройки на заводские.
Поэтому существуют её "моды". Утилита эта на ядре linux и у которой нету ограничений прав доступа в системный раздел и которая собственно и распаковывает/записывает этот архив с прошивкой в системный раздел (опционально она ещё может делать бэкап, работать с файловой системой и много чего ещё, см. TWRP и CWM).
Утилиты нужны только для замены оригинального recovery на модифицированный. Ну и ещё драйвера для подключения по USB.Эти утилиты из пакеты Android SDK и называются они adb и fastboot:
fastboot - режим в котором можно перезаписывать раздел recovery и поместить туда модефицированный recovery. (собственно через эту утилиту)
adb - собственно терминал под android через которые можно устанавливать программы, копировать и т.д. А установив программу для получения прав суперпользователя (утилита su записанная в раздел с системными утилитами/командами и обрабатывающая обращения к системным данным).
Нужно сказать, что для устройств MTK некоторые моды делаются перепаковкой. То есть снимается дамп того же recovery через утилиту dd в формате .img (recovery.img), монтируется (у них бывают разные файловые системы) и к нему добавляется функционал путем добавления бинарников и изменения конфигов (добавляют меню установки прошивки). Или вытаскивают ядро и конфиги из родного recovery, а затем перемещают их в cwm или twrp.
Некоторые производители вообще изменяют формат добавляя в существующие свои правки вроде дополнительной инфы, странных границ между файлами и т.д. На xda/4pda есть форумы в которых люди изучают в HEX редакторах формат и пишут утилиты/скрипты для распаковки/упаковки.
Жаль ЧСВ некоторых авторов таково, что они принципиально не открывают код и пользуются такими утилитами только школьники чтобы сделать "крутые темки".Знаю, что существует также утилита для патча CyanogenMod под Nexus, видимо это оказалось проще чем собирать с нуля.
Миленький ботнетик на 950 млн. узлов может получиться
представляешь как озолотятся операторы сотовой связи на 3G\GPRS трафике этого ботнета?вот мы и узнали заказчиков - o2 vodafone at&t tele2 chinamobile
аргумент уровня "давайте подумаем кому это выгодно"
Объясни, как можно "озолотиться" на трафике во времена безлимитных тарифов?
Безлимитные тарифы вменяемой стоимости только в крупных городах. Большинство людей экономит, так как бедных по определению больше чем богатых. Если мне хватает 200 мб в месяц на сайты, почту и переписку, а остальное я качаю/смотрю дома, то зачем мне тариф в 5 раз дороже?
> Объясни, как можно "озолотиться" на трафике во времена безлимитных тарифов?Безлимитный мобильный тариф? Это тот, который урезается после пары сотен мб чуть ли не до скорости диал-ара? Ну да, 64кбит/c – это же совсем не ограничение :)
> во времена безлимитных тарифов?И ты, конечно, готов показать эти самые безлимитные тарифы?
Можешь начинать.
Какие исправления в течении 18 месяцев? Если даже Microsoft (бывшая Nokia) забила на свою Nokia X2 (там Android) почти через 1 год?
"Даже"...
В качестве примера обычно указывают на что-то достойное. Выпуск расшатанной Nokia этого X, что было таким кратковременным провальным экспериментом, ну просто смешно упоминать.
> связанным с ним полномочиями (чтение и отправка сообщений, доступ к адресной книге)Вангую массовый фрод, как только мошенники смогут повторить уязвимость или найти POC.
Порекомендовал бы пользователям Сбербанка либо отключить мобильный банкинг, либо перенести его на тупую звонилку.
Откройте для себя разовые пароли. :-)
> Порекомендовал бы пользователям Сбербанка либо отключить мобильный банкинг, либо перенести его на тупую звонилку.Пользователи могильного банка от Сбера в курсе, что можно прям на сайте (сбер-онлайн) в настройках могильного банкинга отключить одну веселую (по умолчанию включенную) опцию под названием «Быстрый платеж». И тогда через мобильный банк можно будет осуществлять платежи ТОЛЬКО по вашим собственным шаблонам и никуда более.
типа если контроль над твоей мобилкой у дяди, с помощью которой ты пользуешся банкингом, то этот дядя зайдет на сайт получит смс потвердит вход и отключит дурацкую опцию.Мобилка это второй канал аутентификации, а если ты пользуешся онлайн-банкингом , то сам себе буратино.
> то этот дядя зайдет на сайт получит смсдядя ещё должен для этого знать логин/пароль, которых, кстати, нет на мобилке (никода не пользоваться онлайн-банкингом с той же мобилки считаю само собой разумеющимся). Второй вариант для этого дяди - иметь мою карту и пин-код (но тогда ему нах не надо заморачиваться со всеми мобильно-онлайновыми делами)
> Мобилка это второй канал аутентификации
Нет, не так. Мобилка - это вторая половинка аутентификации, а никакой не второй канал. Логин/пароль + мобилка = если нет хотя бы одного из этого, то фиг ему. И даже если есть, но я контролирую карту и у меня есть время добраться до банкомата - то снова фиг ему.
Условием было пользование онлайн банком, с мобилки. При таком раскладе, контроль над смартом даёт возможность перехватить логин, пароль.Второй канал или вторая половинка канала аутентификации -терминологические тонкости, не о них речь
> Условием было пользование онлайн банком, с мобилки.Это в каком это месте было такое условие? Про онлайн-банк речь, как бы, вообще изначально не шла - я лишь сказал, что там можно отключить произвольное использование могильного банка сбера. Мне начали говорить, что вообще все пользователи онлайн-банка - ссзб. Вот и все условия, которые были.
> Второй канал или вторая половинка канала аутентификации -терминологические тонкости, не о них речь
Фигасе тонкости... "Второй канал" подразумевает параллельно первому (то есть некий обход, альтернатива). "Вторая половинка" подразумевает последовательно с первой половинкой (то есть одно без другого не сработает). В корне разное поведение (в т. ч. и с точки зрения безопасности)
Мдауш. Цианоген свой я конечно обновил, но остается вероятность что устройство уже заражено, а полный вайп делать ой как неохота :(
> Мдауш. Цианоген свой я конечно обновил, но остается вероятность что устройство уже
> заражено, а полный вайп делать ой как неохота :(Чойта? CyanogenMod, судя по тому, что вы его обновили, минимум 12. Там есть сэндбоксинг, много проблем не будет.
Да, найтли цианоген 12. Прописаться в систему троян не мог через эту уязвимость значит?
> Да, найтли цианоген 12. Прописаться в систему троян не мог через эту
> уязвимость значит?Прежде всего, эта уязвимость пока не используется. Эксплойт будет обнародован только в начале августа. То есть шансы, что кто-то распространял какое-то вредоносное ПО с помощью эих уязвимостей, крайне мал.
Про панику конечно смешно, что прям нахакали всех :D
Но и твоя уверенность слишком уверенная.
1-day уязвимость вообще опасная штука. Есть описание уязвимости, есть патч устраняющий эту уязвимость. Поэтому весьма просто понять в чём дело и самому уже по таким подаркам... ну ты понял. И это не надуманность.
Патчи-то в CyanogenMod приехали гораздо раньше, чем уязвимость обнародовали. Неделями раньше, если ориентироваться на официальный гуглоплюс CyanogenMod.Ну а то, что сразу после выхода патчи мог кто-то проанализировать и быстро начать использовать - это да, не исключено.
Вот поэтому Java > C++
Так а что поделать? Скорости джавы не хватает, вот и реализовали либу мультимедийной обработки на плюсах. Ну и получили вот...
Java не сильно медленнее плюсов. Это уже давно устоявшееся заблуждение, повторяемое как Отче Наш плюсовиками. Создание коротко-живущих объектов (по типу буффера) - это очень дешёвая операция (порядка арифметических), их сборка происходит мгновенно, а скорости арифметики и виртуальных вызовов идентичны. Зато Java проигрывает плюсам в отсутствии
небезопасного поинтероблудия и выстрелов себе в ногу (unsafe не в счет).
А вот если бы там был полноценный линукс с PaX ядром и песочницей GrSecurity - такой херни бы не было.
> А вот если бы там был полноценный линукс с PaX ядром и
> песочницей GrSecurity - такой херни бы не было.То она была бы дедушкой. Да, это идеальный вариант, но пока до него далековато.
Там есть selinux. И песочница есть. В новости же написано
> выполнение кода злоумышленника будет ограничено sandbox-окружением приложения и связанным с ним полномочиями (чтение и отправка сообщений, доступ к адресной книге).
А PaX нет, и защиты от выполнения кода в data-секции нет, а это ведь самая распространенная уязвимость.
ржу над каментами
> Проблеме присвоено кодовое имя StagefrightStagefright — это название низкоуровневой части видеосистемы Android, а не кодовое имя проблемы.
"В OS X найдена серъёзная уязвимость, которой дали название bash" (с) <какое-то американское новостное телевидение, не помню какое именно, про ShellShock>
А проблему через оператора сотовой связи решить реально? У меня услуга ММС уже как года 3 отключена на стороне оператора т.к. в современных реалиях она я даже не знаю где может пригодиться.
Ещё раз, проблема с мультимедиа системе андроида. MMS - это хороший, но не единственный вектор хаканья пользователя.
> но не единственный вектор хаканья пользователя.но это ж вовсе не значит что этот не стоит и закрывать
Не долго страдать осталось. Windows 10 на подходе
> Не долго страдать осталось. Windows 10 на подходеСдохнешь от счастья?
Видать уже.
пацаны, налетай, хавлявные ведроиды!
А планшеты тоже уязвимы?
> А планшеты тоже уязвимы?Если на планшете установлен дроид выше 2.2 и есть GSM модуль, то да.
Похоже уже начали ломать.
После сообщения об уязвимости я выключил автоматический приём MMS.
Сегодня пришло уведомление о приходе MMS c "Неизвестный адрес". Вложение 37 кБ.
Загружать не стал. Удалил.
В Мегафон UMS никаких MMS не обнаружил. Но возможно там система не отображает сообщения без номера.