Организация Electronic Frontier Foundation (EFF) выразила (https://www.eff.org/deeplinks/2011/01/dont-sacrifice-securit...) беспокойство в связи с ростом числа смартфонов, программное обеспечение которых содержит неисправленные уязвимости. Например, компания Google при разработке платформы Android придерживается практики молчаливого исправления уязвимостей, которые устраняются наряду с другими ошибками без акцентирования на них внимания. Подобная практика приводит к тому, что производители телефонов на базе платформы Android не торопятся выпускать обновления для своих модифицированных прошивок и как правило продают телефоны, прошивки которых содержат неисправленные уязвимости.
В результате в экосистеме платформы Android накапливается большой пласт устройств - устаревших, фрагментированных и возможно уязвимых для известных видов атак. Подобная ситуация не несет ничего хорошего для всех: пользователей, операторов связи, OEM-производителей, разработчиков программ и компа...URL: https://www.eff.org/deeplinks/2011/01/dont-sacrifice-securit...
Новость: http://www.opennet.me/opennews/art.shtml?num=29373
вот кстати по поводу андроида почему я тупо не могу получить root доступ без всякого бубна и установкой дополнительного софта, зачем они блокируют такую возможность если андроид вроде как открыт и бесплатен
Видимо опыт операционных систем виндовз не дает покоя, где всегда
можно было засунуть свои шаловливые ручки куда угодно, и натворить
делов своим незнанием. Видимо они это делают по принципу
"защита от дурака".
Чтоб ты купленную в Android Market программку не смог скопировать и раздать.
Он открыт и бесплатен для производителей. Будете выпускать свой телефон -- оцените.
И это, кстати, пример того, как не копилефт (не "вирусная", как некоторые говорят) свободная лицензия не может защитить свободу пользователей.
> андроид вроде как открыт и бесплатенпотому что он не свободен O_O, ошибка GPL v2 разрешающая тивоизацию...
сматры которые "продает" гугл (nuxus-ы) не надо ломать для получения рута, там все из коробки
> почему я тупо не могу получить root доступ без всякого бубнаПотому что проиводители дошли в своем копиразме и жабе до такого маразма что защищаются от пользователей сильнее чем от хакеров. Позор таким производителям, имхо.
По-моему это то же самое, что на десктопе запускать все программы от рута. Безопасность Андроида построена на том, что каждое приложение запускается от своего отдельного пользователя и не имеет доступа к данным других приложений. Это очень хорошая практика, а открытие всем им рута автоматом рушит всю безопасность.
Поправьте, если что-то не так.
у меня пока нет телефона с ведроидом, но смотрю из новостей с ним все не так уж и хорошо, как поют... :(
Покупай n900.
грешно смеяться над сирыми и убогими.
> грешно смеяться над сирыми и убогими.а где там сирость и убогость?
> грешно смеяться над сирыми и убогими.Это вы про андроид то, с его дырами, покладанием на обновления, невозможностью получить рут без плясок с бубном, банальными зондами и общим кривым дизайном платформы, вынуждающим постоянно все перепахивать? :)
>Это вы про андроид...Это про нокию, если кто не понял.
Согласен, N900 хороший аппарат. и рут есть и ссх и все на свете. можно даже флешки подключать :-)
Пока и без рута хвотает возможностей в Андроид.
> Пока и без рута хвотает возможностей в Андроид.Без root например невозможно синхронизировать часы с ntp.
А не врешь? У меня, например, на desire z прямо такая галочка есть.
А тем временем всеми нелюбимая Apple, выпускала обновление iOS даже для iPhone 2G вплоть до версии 3.x.x. Что-то нужно менять в этом королевстве, иначе в проигрыше пользователи, причём несравненно большем чем в случае с iOS. В прочем если говорить о свободе, то и на Андроиде её не больше для пользователя, телефонов с default unlocked root на пальцах посчитать.
К.О. не читатель.
К.О.
> А тем временем всеми нелюбимая Apple, выпускала обновление iOS даже для iPhone
> 2G вплоть до версии 3.x.x.А что, после этого дыры обнаруживаться перестали? А, я и забыл что эппл запихнул батарейку так что заменить ее по простому нельзя, чтобы девайс после ее подыхания шел в мусорку.
В старых прошивках, как правило да, не одной дыры в 3.x.x не закрытой нет, делайте выводы сами. А батарейка меняется, не так просто, как в телефонах старого образца, со снимаемой крышкой, но вполне себе меняется в любой телефонно-ремонтной конторке. Другое дело, что пользоваться комуникатором больше 2-х лет, ИМХО не возможно, слишком уж далеко уходят технологии. Сравнить хотя бы iPhone 2G и iPhone 4, разрыв колосальный, для тех кому нужно не просто звонить.
Те, кому необходима безопастность их средств связи, вполне могут сами об этом позаботится, остальным 50-100 дней возможности использования уязвимости не так критичны и они могут себе позволить не уделять этому должного внимания, проблема слишком раздута, теми, кто постоянно следит за безопастностью и думает, что такдолжен поступать каждый
Оно может и так... Хотя нет, не так. Какого хрена предприниматель должен трястись, что в его мобилу подсадят руткит за недорого, который будет отсылать информацию о его звонках и т.д. Это вобще не область его компетенции. Уже в новостях показывают, что простого обывателя могут поиметь по всякому.Возможно, стоит про безопасность больше на уроках информатики учить, но это не к производителям телефонов.
И ещё с таким подходом всегда можно будет заДДосить любой сайт тоже недорого, т.к. ботнетов дохрена и больше.
А Сони, вообще, охренели.
> Я прям смотрю, так тут у каждого в смартфоне секретные документы
> да коммерческие тайны сплошные, естественно проблема не раздута, она же касается
> каждого пятнадцатилетнего подростка, которому родители купили айфон, потому что это круто.Совсем ум от тролления потерял? Мобильники с троянами очень удобны для организации ДДОСа, например, хотя бы потому, что их намного больше, чем ПК.
> Мобильники с троянами очень удобны для организации
> ДДОСа, например, хотя бы потому, что их намного больше, чем ПК.Убери пожалуйста бисти с аватарки, не позорь сообщество
>> Мобильники с троянами очень удобны для организации
>> ДДОСа, например, хотя бы потому, что их намного больше, чем ПК.
> Убери пожалуйста бисти с аватарки, не позорь сообществоСообщество анонимусов? Так я причём?
> Убери пожалуйста бисти с аватарки, не позорь сообществоВы себя уже достаточно опозорили. Простым непониманием того факта что мобильник - всего лишь обычный такой компьютер. С экраном, RAM, flashROM, CPU, ... - как обычно. И с сетью. А раз все компоненты на месте - значит, оно вполне может гадить в сеть. А миллионы хомяков обглодают до костей даже слона. Хоть он и большой. Сюрприз!
Да, вне Москвы миллионы подключенных к 3G сетям смартфонов, или по GSM ддосить бум?
В теории вы блин все мастера, а как головой подумать каким образом это в реальных условиях организовать - тут мы пас, но злоумышленники-то умнее нас...
> 90% пользователей мобильных телефонов держат на нем сайты? Я балдею с вас,
> телефоны уязвимы, о НЕЕЕТ! Теперь к тете Клаве из химок могут
> забраться злоумышленники и выложить всю их любовную перписку дядей Мишей! У
> Вас лично имеется какая-нибудь информация на мобильном телефоне, ради которой коварные
> злоумышленники (которых конечно же миллионы повсюду, и каждый из них владеет
> необходимыми навыками для использования тысяч уязвимостей в смартфоне) хоть пальцем пошевелят?
> Я прям смотрю, так тут у каждого в смартфоне секретные документы
> да коммерческие тайны сплошные, естественно проблема не раздута, она же касается
> каждого пятнадцатилетнего подростка, которому родители купили айфон, потому что это круто.Ты про федеральный закон о персональных данных слышал? Как думаешь, что в наибольшей степени является целью киберпреступников? Коммерческие или гошударштвенные шекретики?
Хер там.
80% целей - персональные данные и массивы персональных данных.
Кушай и не подавись.
> 90% пользователей мобильных телефонов держат на нем сайты? Я балдею с вас,
> телефоны уязвимы, о НЕЕЕТ!Вон пользователи винды не держат сайтов на компьютерах. Это не мешает с нимх слать спам и ддосить все что шевелится. И почему-то у них на ура воруют пароли и что там еще. А хотя-бы чтобы рассылать заразу новым кандидатам в звание лохов. А чем спам и DDoS с телефонов хуже чем с любой другой железяки, собссно?
> А чем спам
> и DDoS с телефонов хуже чем с любой другой железяки, собссно?Спам и флуд ничем не хуже, но вот возможность организации сильно ограничена тем, что в момент ддос атаки телефон должен быть подключен к сети и пропускной способностью этой сети, поэтому не нужно говорить, что с телефонов легче и эффективнее устроить ддос.
А если вернуться к новости, то заботиться о том, что с уязвимых телефонов могут быть организованы атаки должны уж никак не пользователи и далеко не в первую очередь производители ПО, а владельцы этих самых серверов и каналов связи.
> Спам и флуд ничем не хуже, но вот возможность организации сильно ограничена
> тем, что в момент ддос атаки телефон должен быть подключен к
> сети и пропускной способностью этой сети, поэтому не нужно говорить, что
> с телефонов легче и эффективнее устроить ддос.Да брось ты, для отправки нескольких десятков байт большой полосы не нужно, а полностью отключают гпрс/3г/вифи доли процента, остальные либо им активно пользуются, либо не подозревают о такой возможности.
> Те, кому необходима безопастность их средств связи, вполне могут сами об этом
> позаботится, остальным 50-100 дней возможности использования уязвимости не так критичны
> и они могут себе позволить не уделять этому должного внимания, проблема
> слишком раздута, теми, кто постоянно следит за безопастностью и думает, что
> такдолжен поступать каждыйНа самом деле входные двери можно не закрывать на замок когда уходишь. Мало кто ходит и проверяет ручки дверей на открытость а визуально это не видно. Так что вероятность что Вас обкрадут достаточно мала. На самом деле проблема слишком раздута, теми, кто постоянно следит за безопасностью и думает, что так должен поступать каждый.
>> Те, кому необходима безопастность их средств связи, вполне могут сами об этом
>> позаботится, остальным 50-100 дней возможности использования уязвимости не так критичны
>> и они могут себе позволить не уделять этому должного внимания, проблема
>> слишком раздута, теми, кто постоянно следит за безопастностью и думает, что
>> такдолжен поступать каждый
> На самом деле входные двери можно не закрывать на замок когда уходишь.
> Мало кто ходит и проверяет ручки дверей на открытость а визуально
> это не видно. Так что вероятность что Вас обкрадут достаточно мала.
> На самом деле проблема слишком раздута, теми, кто постоянно следит за
> безопасностью и думает, что так должен поступать каждый.есть граждане китайцы, которые ручки всех моих серверов, в день, проверяют раз по 300. пойте свои басни дальше крашеным блондинкам.
Да неужели Вы тоже свои сервера держите на смартфонах? Ах да, как я мог забыть, что 100 айфонов в ботнете могут заддосить к чертям стойку в датацентре, и естественно намного важнее заботиться о безопастности мобильных телефонов, чем о ддос уязвимостях серверов.
> ддос уязвимостях серверов.Можно поподробнее о данном типе уязвимости? Какие сервера подвержены, какие заплатки ставить?
> А Вы думали уязвимость - это только возможность получения контроля? У Вас
> любой человек, не соглачный с общественным мнением является дурачком? Может стоит
> иногда в своем уровне знаний усомниться и полюбопытствовать каким образом организуется
> защита от дос и какие уязвимости в программном обеспечении могут эту
> защиту обойти?Уязвимость это уязвимость, а атака - это атака. И причём здесь общественное мнение? Оно помогает защититься от ДДОС? И как защита от ДОС поможет от ДДОС?
> в обслуживании из-за нехватки ресурсов вычислений, с этим можно боротся при
> помощи различных службы для анализа трафика и фильтров они не простоНу да, ну да, особенно когда до твоего ресурса пытаются достучаться миллионы мобильников из нескольких десятков стран. Фильтры очень помогут.
> Использование этих дыр как ни странно тоже называется дос/ддос атакой (разница
> здесь известна всем, не нужно придираться к словам, это глупо).Придираться нужно. Терминологию нужно применять правильно.
> Если Вы действительно считаете, что решать проблему ддос нужно в первую
> очередь с организации постоянных обновлений прошивок мобильных телефонов, то я уж
> и не знаю возможно ли Вас переубедитьМеня не надо переубеждать, потому что это бесполезно. Устранение источника ДДОС(миллионы дырявых смартфонов) приведёт к исчезновению самой возможности такой атаки. И если от ДОС защититься вполне реально, то от настоящей ДДОС можно защититься только отключением сетевых интерфейсов. Правда, подумалось, что от ДДОС с мобильника защищаться легче, так как все мобильники вроде бы за NAT и таких NAT у оператора может быть немного.
От войны в Чечне можно защитится только масовым истреблением чеченцев. гениальная мысль гениального человека
> От войны в Чечне можно защитится только масовым истреблением чеченцев. гениальная мысль
> гениального человекаМассовым? Не гениальная, но достаточно здравая, во всяком случае на текущий момент.
> И причём здесь общественное мнение?При том, что оппонент слышал звон, да не знает, где он. Вот и лепит слова вроде "общественное мнение", "они не просто так существуют" или "разница здесь известна всем" да передёргивает про "в первую очередь".
Времени на обсуждение явно не стоит.
> При том, что оппонент слышал звон, да не знает, где он.
> Вот и лепит слова вроде "общественное мнение", "они не просто так
> существуют" или "разница здесь известна всем" да передёргивает про "в первую
> очередь".
> Времени на обсуждение явно не стоит.Да это очевидно, но в периоды перерыва между задачами - почему бы и нет?
>> И причём здесь общественное мнение?
> При том, что оппонент слышал звон, да не знает, где он.
> Вот и лепит слова вроде "общественное мнение", "они не просто так
> существуют" или "разница здесь известна всем" да передёргивает про "в первую
> очередь".
> Времени на обсуждение явно не стоит.Вы лучше по существу что-нибудь скажите. Если считаете, что с кем-либо не стоит разговаривать - просто не делайте этого, не зачем об этом говорить кому-либо ещё. Это как-то не логично, знаете ли
> Вы лучше по существу что-нибудь скажите.По существу чего? Навскидку:
- DoS (упомянули) действительно не DDoS (обсуждалось);
- количество мобильных терминалов превышает количество ПК и если мне не изменяет
память в виденных цифрах, растёт быстрее (насчёт доли подключенных к сети не помню,
но выпуска iPhone хватило, чтоб завалить не готового к тому сотового оператора);
- портативные универсальные ПК с подключением к сети являются действительно
привлекательной целью для захвата, особенно при наличии интереса в проведении
с контролируемых устройств атаки с небольшим соотношением требуемых и отнимаемых
ресурсов (см. тот же slowloris).Можно и продолжить, но только не надо "общественных мнений" и "известно всем": это типичный признак необоснованности того, о чём говорят.
> На самом деле входные двери можно не закрывать на замок когда уходишь.Не так давно опера заходили, спрашивали, не было ли что слышно ночью. У кого-то барсетка ушла -- видать, кто-то тоже так думал (при консьержах и 1-wire замке в подъезде).
Motorola тоже не парится с выпуском обновлений.
> неисправленные уязвимости. Например, компания Google при разработке платформы Android
> придерживается практики молчаливого исправления уязвимостей, которые устраняются наряду
> с другими ошибками без акцентирования на них внимания. Подобная практика приводит
> к тому, что производители телефонов на базе платформы Android не торопятся
> выпускать обновления для своих модифицированных прошивок и как правило продают телефоны,
> прошивки которых содержат неисправленные уязвимости.и
> Подобная тенденция не свойственна только платформе Android
По-моему, взаимоисключающие параграфы, не?
Я все же никак не пойму, зачем телефону нужен цветной экран?
На цветном экране можно отразить больше информации при одинаковом размере с не цветным.