Специалист по компьютерной безопасности Джон Оберхайд (Jon Oberheide), чьё исследование (http://www.opennet.me/opennews/art.shtml?num=27052) возможности легкого распространения вредоносного ПО для платформы Android, используя склонность пользователей особо не разбираясь устанавливать заманчивые программы из каталога Android Market, наделало много шуму и вынудило компанию Google прибегнуть (http://www.opennet.me/opennews/art.shtml?num=27090#google) к функции принудительного удаленного стирания программ с телефонов пользователей, опубликовал (http://jon.oberheide.org/blog/2010/06/25/remote-kill-and-ins.../) в своем блоге результаты изучения функции удаленного выполнения операций в платформе Android.
Самое интересное, по мнению Оберхайда, - это не возможность инициирования удаления, а имеющаяся в арсенале Android функция удаленной принудительной
установки
программ. Если в благонадежности Google можно быть уверенным, то нет никакой гарантии, что злоумышленники не ...URL: http://jon.oberheide.org/blog/2010/06/25/remote-kill-and-ins.../
Новость: http://www.opennet.me/opennews/art.shtml?num=27108
"Если в благонадежности Google можно быть уверенным"
я бы воздержался от такого высказывания
Веня, тут не это главное. Вся штука новости в том, что гугл может не только удалять приложения с телефонов, но и устанавливать и обновлять их без вашего на то ведома, что и может наплодить проблем в будущем.но пока, это все пустые разговоры.
почему пустые? что-то вон уже поудаляли ...
> Вся штука новости в том, что гугл может не только удалять приложения с телефонов, но и устанавливать и обновлять их без вашего на то ведома ...вопрос:
а работаетли эта функция на телефонах со свободной прошивкой Андройда? или же такое только для проприетарных тивизированных моделей андройда?отвечаю:
в свободном Андройде -- маркет не работает----------
ну и в чём новость? в том что проприетарная операционная система содержит бэкдор от создателя? тыг это ж всегда так было... возьмите хоть Венду и Skype , для примера :-)
> но пока, это все пустые разговоры.Ну вон тот скриноштец несколько заполняет собой пустоту, вроде?
[quote]...нет никакой гарантии, что злоумышленники не смогут вклиниться в SSL-соединение...[/quote]ну да! как должно быть легко вклинитсья в SSL-соединие! :-) :-D
...интересно, многоли народу уже успело "вклиниться" за всю историю SSL %) :)
Почитайте что ли историю багов в SSL and co. за последнюю пару лет.
>[quote]...нет никакой гарантии, что злоумышленники не смогут вклиниться в SSL-соединение...[/quote]
>
>ну да! как должно быть легко вклинитсья в SSL-соединие! :-) :-D
>
>...интересно, многоли народу уже успело "вклиниться" за всю историю SSL %) :)Банально подменой сертификатов.
Пример - засунуть пользователю левое приложение (через тот самый маркет), которое поменяет сертификаты.
Приложение удалят, но сертификаты и ещё кой-какие настройки уже будут поменяны.
Это я ещё не говорю про сами взломы SSL.
> Банально подменой сертификатов.да, вы правы...
зачастую клиентские приложения не обращаются к директории с CA, при работе с SSL/TLS-сертификатами... а жаль
Ну да, паяльником можно взломать все, что угодно. ;)
>Ну да, паяльником можно взломать все, что угодно. ;)Давай /18 - /24 подсетки где ты колокишься и я потрачу макс 500 уе чтобы навалять тебе бекдоров.
192.168
>192.168127.0.0 =))
Google анализирует почту
Google анализирует мои посиковые запросы
Google хочет, чтобы я хранил свои документы у них на серверах
Google на фейсбуке удивляет осведомлённостью о моих отношениях с людьми про которых я уже и забыл.
Google случайно собирает базу ip беспроводных сетей с привязкой к местности
Google по своему усмотрению стирает программы с телефонов пользователей и, возможно, может устанавливать ихИ это только то, что было сделано слишком топорно и бросилось в глаза мне - человеку вопросом не интересовавшемуся.
Что-то как-то мне ссыкотно
Да он может что угодно собирать. Но кто заставит меня им пользоваться?
на фейсбуке были когда-нибудь ? нет ? ну это и не обязательно, гугл уже пошарил по почтовым базам пользоватей при "поиске друзей"
на gmail писали кому-нибудь ? Ваше письмо было проанализировано
про google analitycs слышали и соотв. скрипты ?
про safe browsing, в firefox включенный по-умолчанию, слышали ?им, как таковым, пользоваться то уже и не надо
фейсбуком не пользуюсь, на гмейл не пишу, safe browsing отключаю сразу же.
google analystics у меня занесен в hosts, как 127.0.0.1
Скрипты? Есть свободный аддон noscript.
>google analystics у меня занесен в hosts, как 127.0.0.1
>Скрипты? Есть свободный аддон noscript.а есть какой-нибудь аддон, запрещающий другим пользователям (не вам) открывать сервису facebook свои почтовые базы с полученными от Вас сообщениями. Что позволяет googlе определить круг Вашего общения без Ваших заходов на facebook.
Сколько таких googloвских и не только гугловских фишек вы не знаете ? Вы уверены, что никто не пересылает Ваши письма с вашеми ФИО + ip где-нибудь в заголовке и что зная это нельзя определить ваши предпочтения по просматриваемым вами роликам на ютубе? Ну, не на ютубе, а на варезном сайте, в который авторы встроили смешной ролик? Гугл тратит на содержание ютуба более миллиона в день чтобы порадовать вас смешными котами?
Если информацию собирают и анализируют, значит кому-то это нужно.
Я с вами согласен, но я намекал на то, что от гугла ещё можно как то защититься. А вот интернет-провайдеры и операторы мобильной связи доставляют уже больше неудобств.
А почтой да, из-за всяких гуглов и фейсбуков пользоваться становится небезопасно :(
>Но кто заставит меня им пользоваться?Жизнь ;(. Ну вот например остальные поисковики - сосут. Настолько что они просто бесполезны. Да и второй по степени вменяемост поисковик - у MS. Ну да, конечно, жадный и тупой Баллмер просто источник вдохновения и его рожа лица типичного барыги, который продаст мать родную - прямо так и располагает показать ему всю свою переписку. Аж два раза. А за сколько он потом мою тушку продаст? :)
Используй http://ssl.scroogle.com/, Luke!
>Что-то как-то мне ссыкотноГугл всего-то хочет захватить мир, попутно убив право на приваси и прочую "ненужную" ерунду. Ну сами посудите: FBI как-то геморно агентов нанимать, следить за всеми и прочая. Проще добровольно-принудительно слить базы у гугля где вы сами все о себе задокументировали уже :). Осталось еще прикрутить автоматический анализатор состыкованный с беспилотными дронами - и хана тогда "террористам". Ну а кто террорист понятно как определят - все кто не шагает в ногу с генеральной линией партии - тот террорист и враг народа, это мы уже видели где-то ;). Правда вот у них к счастью беспилотников и гугли не было. А вот тут и правда как-то совсем уж ссыкотненько. А если не дай боже до чтения мыслей дорвутся... у... потенциальных "террористов" беспилотные дроны будут просто выкашивать как траву.
>до чтения мыслей дорвутся... у... потенциальных "террористов" беспилотные дроны будут просто
>выкашивать как траву.Борьбу с дронами я почту за счастье. Но меня тревожит всё в более практическом смысле:
Гипотетический довольно невинный сценарий:Например в Англии есть такая штука как CBR - проверка криминальной истории, без которой вы мало какую работу получить сможете. Например если вы хотите устроиться официантом в кафешку рядом с аэропортом. При проверке вашей истории гос. агентство делает запрос по полицейским базам - вы чисты аки снег. Автоматически система делает запрос в G Securuty Analitycs для получения вашего рейтинга благонадёжности по типу рейтинга страниц.
И система выдаёт Вам низкий рейтинг на основании того, что двух каких-то гопников закрыли за кражу магнитол (в детстве дружили, а Вы про них уже и не помните, ваш адрес просто был в их почтовой базе) или на основании того, что Вы просмотрели 80 раз ролик Natalie Cardone - Hasta siempre http://www.youtube.com/watch?v=jppkff5mk34 (Революционные взгляды ?)
Для Вас и для клерка все эти автоматические умозаключения останутся за кадром. Вы просто работу не получите и не получите ответа на вопрос "почему ?". И ничего не сможете с этим сделать - вы про это ничего знать не будете. Насколько этот сценарий более вероятен, чем дроны, если коллекторские агентства уже используют соц.сети ? Или вы думаете что миллиардная информационная империя действительно принадлежит беглому еврею Серёже и его другу Ларри ?
этот http://www.youtube.com/watch?v=jppkff5mk3 ролик я, ИМХО, слышал задолго до появления этой мочалки
> Вы просто работу не получите и не получите ответа на вопрос "почему ?"И зачем такая работа нужна?
А еще вы можете не получить визу или кредит, билет на нужный вам рейс, контракт и тд. Можете влететь на бабки, ибо принцип "время - деньги" никто не отменял. Напоследок все это может быть использовано для конкурентной борьбы, как в свое время Эшелон, только тут напряга для служб меньше.
>И зачем такая работа нужна?Ну, жрать то что-то надо. Ну, допустим, реально талантливые и так зубы на полку не положат, правда, если банки откажутся открывать вам счета, выпускать карты и прочая, потому как в базе большого брата сказано что вы - такой-сякой, неблагонадежный и террорист - то что вы будете делать уже будет тянуть на "незаконное предпринимательство". Появится повод вас упечь, например.Ну или у вас есть выбор - можете под мостом дохнуть с голода.Все демократично, хренли.
>Борьбу с дронами я почту за счастье.А не будет никакой борьбы. Вы новости читали вообще? Будет лишь +1 новость что "террорист застрелен беспилотным дроном". Или у вас есть персональное ПВО сбивающее все беспилотники на дистанции больше их выстрела? Нет? Ну надо же, у меня тоже. И у В. Пупкина, как ни странно. И даже у настоящих террористов и не только у них. Ну вот ремотно управлять ими уже научились. Осталось привитить в этому AI, распознавание лиц и ... дальше достаточно натравить это на базу "неблагонадежных" и остается только убирать трупики "террористов". Собссно, эти виды демократизации уже вовсю испытывают на всяких там ираках и прочих, которые не демократичны, а потому - их так можно, дескать. Ведь добро побеждает зло. Ну да, а хотя-бы и выкашивая "террористов" c воздуха. Без суда и следствия разумеется.
>Автоматически система делает запрос в G Securuty Analitycs для
>получения вашего рейтинга благонадёжности по типу рейтинга страниц.Да-да. Тем более что если гуглу дать денег или пригрозить наездами - наверняка он сольет список урлов, рефереров и прочая и их корреляцию. В итоге напишешь вот так с почты @gmail.com а о тебе и сгребут полное досье, при том чего доброго окажешься другом Бин Ладена. Просто потому что шел по той же улице и камера запечатлела рядом с его соратником. Доказывай потом что не верблюд, ага. Хоть ты и понятия не имел что вон тот фрукт - правая рука Бин Ладена, дескать, но разве ж ботов это волнует?
>Для Вас и для клерка все эти автоматические умозаключения останутся за кадром.
>Вы просто работу не получите и не получите ответа на вопрос "почему ?".Эту тему англичане обсосали еще в своем учебнике инглиша Headway в девяностые, чтоли :).И, главное, оно было актуально и тогда и в 100500 раз актуальнее и сейчас.Да, основной грабель в том что тот про кого заведены записи в базе вообще может никогда и не узнать что там написано и насколько это соответствует действительности вообще.
>И ничего не сможете с этим сделать - вы про это ничего знать не будете.
>Насколько этот сценарий более вероятен, чем дроны,Этот вопрос вызывал недетский батхерт у англичан (ну или что может побудить включить статью аж в учебник инглиша?) еще лет 10+ назад. А дроны... новости почитайте. Сейчас ими рулят живые операторы. Но ведь ежу понятно (в игры типа flight simulator-ов то многие играли, правда?) что приделать управление AI + распознавалку лиц - дело техники и явно не столь далекого будущего. А там можно привинтить и базы неблагонадежных, уйму датчиков, да хоть чтение мыслей! В пределе - вы только подумали "как бы хотелось взорвать вайтхаус! там одни пи...сы, которые не отстаивают мои интересы!". И тут же на горизонте уже рисуются стервятники по вашу душу. Хана будущему террористу! И наступает мир, дружба, жвачка. И, главное, правительство может делать все что захочет. Потому что остальные будут бояться даже подумать о правительстве плохо. Кому же охота встретиться с беспилотными стервятниками? Правительству обеспечен 100% рейтинг и офигенная поддержка действий населением (а кто будет вые... - познакомится с дронами)
>если коллекторские агентства уже используют соц.сети ?
Да-да. Публикуйте о себе побольше, хомячки. Потом только чур не плакать, когда последствия начнут икаться. И даже если кто-то и является совсем домашним хомячком, овощным и тупеньким, это еще не значит что работодателю придется по вкусу характеристика "любит смотреть прон в рабочее время" или "любит ковыряться в носу".
1984
Не правда, дедушка Оруэл был добрее, на такое его фантазии не хватило