Исследователи из университета Indiana University и Microsoft опубликовали статью (http://www.informatics.indiana.edu/xw7/papers/privilegescala...) (PDF), в которой описали новый класс уязвимостей в платформе Android, который затрагивает все её версии, включая полностью открытую версию Android - Android Open Source Project. Уязвимыми на данный момент являются все аппараты, работающие под управлением Android.
Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется. Злоумышленник может подготовить приложение запрашивающее доступ к привилегированным операциям, появившимся в свежей версии платформы. При установке такого приложения на старых версиях Android данные неизвестные привилегии будут проигнорированы.
При обновлении операционной системы до более новой версии сервис Package Management Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все присутствующие в нём разрешения, даже на те, которые не поддерживались в старых выпусках ОС. Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.
Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС, или получают только обновления, которые не увеличивают основную ревизию, например, с 4.2 до 4.2.2.URL: http://www.informatics.indiana.edu/xw7/papers/privilegescala...
Новость: http://www.opennet.me/opennews/art.shtml?num=39391
> и MicrosoftПрочитав заголовок и открывая новость, я так и подумал!
На этом чтение можно и прервать. Дальше будет о кознях.
Лучше бы искали уязвимости в своем виндозе.
Все версии мужчин уязвимы к атаке MakeUp
А некоторые версии женщин - к атаке PickUp
SElinux не поможет?
> SElinux не поможет?Хватает Privacy Guard. Брехня от M$ - всегда брехня.
>> SElinux не поможет?
> Хватает Privacy Guard. Брехня от M$ - всегда брехня.Андороид один из самых прибыльных активов MS.
Хренынукс... он-то тут причём...
То что Android дырка это и без подобной новости очевидно то есть и без участия MS, но эта новость просто дополняет и без того увлекательный список особенностей системы Android.
Больше всего радует что это не хитрый программный баг, а просто детская логическая ошибка. Каждый видит проблемы на своем уровне понимания, забавно...
Походу они нашли это в своем магазине и просто решили подгадить гуглу и попиарится.
Это вообще не ошибка, а логичное поведение, если учесть, что в андроиде управления правами приложений нет. (ты его просто устанавливаешь "как есть" либо не устанавливаешь)
to Аноним
Он не более дыряв обычного линукса в котором вся безопасность основана на доверии к софту в репах. Ведроид же предназначен для работы со сторонним часто вредным и глючным софтом.
Ну вот собственно это и есть основная дыра. Никак люди не поймут, что песочницы - это хорошая вещь _вдобавок_ к доверию к софту, но не замена ему.
Вообщем то подход должен быть системным. Защищаться можно только когда на ВСЕХ уровнях есть защита, начиная с процесса создания ПО и заканчивая его запуском у пользователя.Всегда ваш КО.
В общем-то да, но с оговорками - акценты на разных уровнях всё же получаются разные. Если у нас достаточно надёжная система репозиториев - то для повседневных целей песочницы не особенно важны, к примеру. Каждый уровень - это дополнительно потраченные ресурсы и дополнительные неудобства для пользователя.Одно дело - когда приходится защищаться от ошибок в ПО (возможно, кем-то эксплуатируемых). Другое - когда защищаться надо от вполне вероятных и распространённых целенаправленных атак от создателя ПО.
> Он не более дыряв обычного линукса в котором вся безопасность основана на
> доверии к софту в репах.Прям таки основа основ )))) Чушь не пишите.
>> Он не более дыряв обычного линукса в котором вся безопасность основана на
>> доверии к софту в репах.Прошу не путать, Android использует ядро Linux, и да, в нем конечно бывают ошибки. Но Android не имеет хорошо спланированной системы управления доступом. Исходя из этого вся безопасность построена исключительно на доверии разработчику и репозиторию. В то время как в Linux есть ряд программных средств позволяющих разграничивать доступ к различным уровням системы. Важный момент в том что отсутствие границ доступа приводит к тому что уровень распространения заразы на Android устройствах имеет такой высокий рост.
В Linux возможно разграничивать доступ, причем на различных уровнях. Отсутствие средств управления доступом и нежелание или неумение его использовать это разные понятия.
>[оверквотинг удален]
>>> доверии к софту в репах.
> Прошу не путать, Android использует ядро Linux, и да, в нем конечно
> бывают ошибки. Но Android не имеет хорошо спланированной системы управления доступом.
> Исходя из этого вся безопасность построена исключительно на доверии разработчику и
> репозиторию. В то время как в Linux есть ряд программных средств
> позволяющих разграничивать доступ к различным уровням системы. Важный момент в том
> что отсутствие границ доступа приводит к тому что уровень распространения заразы
> на Android устройствах имеет такой высокий рост.
> В Linux возможно разграничивать доступ, причем на различных уровнях. Отсутствие средств
> управления доступом и нежелание или неумение его использовать это разные понятия.Почему же Android не имеет "хорошо спланированной системы управления доступом". Имеет... Особенно учитывая что разрешения выдаются каждому приложению отдельно... Да ещё и приложения на java...
Другое дело, что юзер может только подтвердить или отказаться от запроса приложением прав.
А Линукс то тут причём? Андроид это всё же только Ява-машина.
Кстати да. На днях нужно было поставить на Acer (Андроидный) некое приложение.
1. Без SD карты - никак (если оно не маркета).
2. По-умолчанию не было файлового менеджера (!)
Так вот, в том же маркете не с первого раза удалось найти файловый менеджер, которому не требовался бы "Неограниченный доступ в интернет". Напуркуа файловому менеджеру "Неограниченный доступ в интернет" ?
** (не ИЗ маркета) **
Вообще-то галочка "установка из недоверенных источников" позволяет установить любой загруженный куда угодно apk.
Уверенно утверждаю это как разработчик с Acer A510, неоднократно устанавливавший на него всякое разное, в том числе свое со своего сайта, не имея в планшете SD-карты в принципе.
> Вообще-то галочка "установка из недоверенных источников" позволяет установить любой загруженный
> куда угодно apk.
> Уверенно утверждаю это как разработчик с Acer A510, неоднократно устанавливавший на него
> всякое разное, в том числе свое со своего сайта, не имея
> в планшете SD-карты в принципе.я несколько о другом... :)
Пользуйтесь правильными репозиториями - https://f-droid.org/ - открытый и свободный софт под андроид
Этого пакета там нет
F-Droid сложно назвать "правильным репозиторием" -- версии софта зачастую более старые, чем в маркете (например, vlc), нередки проблемы с обновлением установленного софт (AdBlock+). Так что репозиторий из разряда "на безрыбье скорее".
Этой левой парашей могут пользоваться только совсем отмороженные пердолики.
В общем банально, что-бы рекламу показывать, а в платных версиях могут просто забыть отключить разрешение.
> ...в андроиде
> управления правами приложений нет. (ты его просто устанавливаешь "как есть" либо
> не устанавливаешь)в 4.3 есть - т.н. режим инкогнито
но гуглы (вероятно) почемуто испугались за растущий на дрожжах маркет и обозвали это случайной и не нужной фичей и выкосили в 4.4
Господа, а за что этого Анонима заминусовали? Неужели есть люди, верящие в безопасность платформы Android, при такой весёлой политике распространения приложений через Google Play?
Android не обязательно обязан содержать Google Play.
И сколько вас таких, выпиливающих Google Play, по отношению к общему числу пользователей андроида? 0,1%?
> И сколько вас таких, выпиливающих Google Play, по отношению к общему числу
> пользователей андроида? 0,1%?И сколько вас таких, не отличающих платформу от прикладного софта? 95%?
Не без того, но когда речь идёт не о Googl Play, а о тот же самом f-droid - 90% этих "дыр" становятся неважными, так как относятся к использованию недоверенного софта
А мне больше всего понравилось про DoS самого Google Play. То есть они там все "не думали, что так может быть". Что при создании представителя класса конструктор этого класса вообще не обязан ничего проверять. Какое переполнение буфера? Не, не слышали. Мне кажется, это удел первокурсников.
спв там у них была проблема в методе запуска эмуляторов на которых тестируются приложения.
Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом этапе, чем он дальше полезет. Гугл знающий все обо всех вполне может реализовать пожизненный бан.
> Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом
> этапе, чем он дальше полезет. Гугл знающий все обо всех вполне
> может реализовать пожизненный бан.:-)) И не один. Вопрос только как бы эти пожизненные баны отметить какими-нибудь знаками отличия (которые могли бы рассылаться Гуглом), так чтоб красиво было. Вот идёт, скажем, интернетчик по улице, и по знакам отличия сразу видно - шестикратно пожизненно забанен Гуглом в Интернете >:-)
>> Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом
>> этапе, чем он дальше полезет. Гугл знающий все обо всех вполне
>> может реализовать пожизненный бан.
> :-)) И не один. Вопрос только как бы эти пожизненные баны отметить
> какими-нибудь знаками отличия (которые могли бы рассылаться Гуглом), так чтоб красиво
> было. Вот идёт, скажем, интернетчик по улице, и по знакам отличия
> сразу видно - шестикратно пожизненно забанен Гуглом в Интернете >:-)Автоматически при попадании в объектив камеры.
А рутилка без перепрошивки будет на основе этой уязвимости?
очевидно нет.
я наверное не те устройства использую(в основном китайские)....
но накатить обновление версии без переустановки приложений както вообще никогда не получалось :).
Те ИМХО найдена сааамая маленькая дырка в андройде.
От майкрософта и правда можно было ожидать чегото покрупнее.
> я наверное не те устройства использую(в основном китайские)....Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек и софта.
>> я наверное не те устройства использую(в основном китайские)....
> Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же
> девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек
> и софта.Фирменные - это какие? Lenovo - фирма? Lenovo не обновляется.
>>> я наверное не те устройства использую(в основном китайские)....
>> Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же
>> девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек
>> и софта.
> Фирменные - это какие? Lenovo - фирма? Lenovo не обновляется.Nexus 7 точно обновляется
Китайская шарага, которая гонит ширпотреб и покупает бренды для того, чтобы их испортить. Можете называть их фирмой, но лучше пахнуть они от этого не станут, и писать нормальный софт не научатся.
> Китайская шарага, которая гонит ширпотреб и покупает бренды для того, чтобы их
> испортить. Можете называть их фирмой, но лучше пахнуть они от этого
> не станут, и писать нормальный софт не научатся.Китайская (шарага) - это не всегда ругательство.
Телефон Haipai-9220 (китайчатина на MTK с надписью SAMSUNG)
я перегружал изза глюков куда реже чем Samsung Galaxy GrandВ итоге кто из них "фирма" а кто "низкокачественная китайская копия" - большой вопрос
>> я наверное не те устройства использую(в основном китайские)....
> Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же
> девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек
> и софта....и рут отваливается, и selinux'ы прилетают
Нафиг такое счастье, лучше уж забэкапиться и цианоген накатить
> я наверное не те устройства использую(в основном китайские)....
> но накатить обновление версии без переустановки приложений както вообще никогда не получалось
> :).
> Те ИМХО найдена сааамая маленькая дырка в андройде.
> От майкрософта и правда можно было ожидать чегото покрупнее.Единственное здравое замечание.
> я наверное не те устройства использую(в основном китайские)....
> но накатить обновление версии без переустановки приложений както вообще никогда не получалосьУ некоторых моделей телефонов и планшетов есть возможность скачать прошивку через инет и обновиться с одной перезагрузкой и сохранением настроек.
Примерно, как у ubuntu, когда обновление без косяков.
Для этого сам вендор должен официально зарелизить прошивку.
Такое обновление называется OTA (over the air).
Насчет цианогена хз, может и в цианогене есть такое.
вот потому все нормальные люди после обновления системы делают сброс настроек.
вот-вот, тем более что нормальные люди _с_руками_ вообще ставят кастом, ибо сток очень часто бывает убог.
а при установке кастома - wipe или wipe ))
> Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.Ложь. Системные полномочия регистрируются отдельно.
Ой какой же бред. Любое приложение может натворить кучу всего нехорошего на вашем девайсе, стоит лишь его установить.
Мокрыйсофт лучше бы занялась безопасностью своих форточек.
Мне их заботливость не нужна. В реалии не так все выглядит, как написано в статье. И да, я не фанат Linux, я просто с ним и в нем работаю.
Тоже придерживаюсь такой точки зрения. Кто бы не нашел проблему, это повод ее исправить.
> Тоже придерживаюсь такой точки зрения. Кто бы не нашел проблему, это повод
> ее исправить.Таки да, ты прав.
>Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется.Бездоказательное утверждение
>Исследователи из Индианского университета и компании Microsoft
Ох лол, я понимаю почему они не ищут дыры в вантузе 8 (RT) -- БОЯТСЯ!
Я один заметил взаимоисключающие параграфы?
> При обновлении операционной системы до более новой версии ... автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все ... исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ.То есть как мы поняли, проблема при обновлении ОС.. ок.
> Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС ...
Эммм, (мелкософт != логика) ...
> что привело к нарушению работы сервисаАй красафчик :)
Жалко пытающимся потроллить в тредике студентам-партнёрам некрософта (причём явно не индианским): даже не пытайтесь, бездари.PS: менять ники тоже без толку -- что лох-матка, что клоун-с**к*нчик, что даже Аноним -- без разницы. Бьют по морде, а не по поясу.
Походу мс собирается решить первую проблему России (забрав их к себе).
Кого бы ещё заставить дороги чинить...
Так оно же не забирает, оно их тут разводит. То есть не решает, а усугубляет проблему.
>> Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложениеНет уже, спасибо.
Новые пермишенны могут появится только в новых API level, за все время существования Android их 19.
1) Сколько придется ждать обновления?
2) Какой процент железок получает поддержку выхода обновлений от разработчика в течении 2ух и более API level?
Перевожу — мс надеется, что андроид сам от старости сдохнет.
Главное не упустить момент.
> Перевожу — мс надеется, что андроид сам от старости сдохнет.От старости? Что ты имеешь в виду?
не по-русски написано что ли?зыж
тем более что им и надеется больше не на что.
> Установка подготовленного злоумышленниками пакетаИз статьи понял только, что их фамилии:
> Исследователи из Индианского университета и компании Microsoft ...
Понял правильно.
Что-то я не понял. Чем отличается с точки зрения хомячка обновление системы без сброса настроек и обычная установка приложения с предоставлением всех ему прав в уже обновленной системе? В любом случае, оно окажется в телефоне и права у него останутся те же самые. Что я упускаю?
> Что-то я не понял. Чем отличается с точки зрения хомячка обновление системы
> без сброса настроек и обычная установка приложения с предоставлением всех ему
> прав в уже обновленной системе? В любом случае, оно окажется в
> телефоне и права у него останутся те же самые. Что я
> упускаю?Этот "косяк" с расширением "прав" приложения на обновляемой системе чем-то напоминает "двойной" API самой венды. Т.е., то что написано по внутренним спекам работает быстрее и менее глючно, чем написано по опубликованным спекам. Или песочница RT...
Из пальца высосали уязвимость.Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.
> Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.Суть уязвимости в том, что если запрошенные привилегии не поддерживаются текущей версией Android, то вы их не увидите и согласитесь не глядя. После обновления Android эти не замеченные привилегии будут включены, хотя вы явно с ними не соглашались.
>> Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.
> Суть уязвимости в том, что если запрошенные привилегии не поддерживаются текущей версией
> Android, то вы их не увидите и согласитесь не глядя. После
> обновления Android эти не замеченные привилегии будут включены, хотя вы
> явно с ними не соглашались.И как эксплуатировать эту уязвимость?
> И как эксплуатировать эту уязвимость?Обратиться к Микрософту из Индейского института?
>> Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.
> Суть уязвимости в том, что если запрошенные привилегии не поддерживаются текущей версией
> Android, то вы их не увидите и согласитесь не глядя. После
> обновления Android эти не замеченные привилегии будут включены, хотя вы
> явно с ними не соглашались.Вообще-то кажется если запрашивается неизвестное разрешение, то следует предупреждение о нём.
А вообще после обновления много интересного может появиться ... :-)
То есть когда вася нашёл уязвимость, опубликовал инфу и её исправили это ок. А когда микрософт сделал то же самое то не ок. Что-то я не понимаю такой логики. Сила опенсорса же в том, что _все_ могут проверять код, даже микрософт. Скажем ему спасибо. Пусть и дальше контрибьютит в ядро и ищет дырки. Нам же лучше.
Микрософт нашел лазейку, которую практически нереально использовать, и трубит об этом в духе "Все версии Андроид уязвимы". Действительно, сделал то же самое.
Собственно, M$ так же "контрибьютит в ядро и ищет дырки" - исключительно в пиар-пространстве, никак не пересекающемся с реальной вселенной за пределами интересов M$.
Если он и трубит об этом, то в новости про это ничего не сказано. Жду ваш пруф на трубление.
Молодо, зелено...
В новости ссылка на статью, в статье - на специально посвященный этой "проблеме" сайт.
Чрезвычайно непохоже на скромный коммит на багтрекере.
Ну да, целый сайт не ок, согласен. Хотя там жалких семь лайков с фейсбука, это далеко от трубления. И кстати в статье немаловажный нюанс - не микрософт, а микрософт ресёрч. Это совершенно отдельное подразделение, очень клёвые ребята, которые до сих были славны лишь добрыми делами.
Добрейшие дела, конечно - например, тот самый патентный портфель, которым так успешно доят тот самый Андроид.
А в статье самый важный нюанс - что это именно статья, предназначена для широкой публикации. А не для уведомления кого бы то ни было о проблеме, для чего достаточно было сообщения на профильных ресурсах.
Как будто любой, сколь угодно черный, пиар способен ухудшить репутацию IE! О его родовых травмах только что не на каждом заборе написано.
Э, по-моему, брехня. Никаких существенных прав пакет не имеет, к тому же, чаще всего прежний пакет предварительно удаляется, а новый ставится вместо него, поэтому разрешения нужно выставлять снова.
Но это не беда -- абсолютное большинство пользователей тыкают Ок на любое предложение на экране.
Некоторое время назад в компанию Apple посыпались жалобы на то, что приложения на iPad/iPhone, которым никто не давал прав на доступ к счёту, активно списывают с него деньги. Причина оказалась в том, что приложения, прежде бывшие бесплатными, стали предлагать приобрести игровые бонусы за реальные деньги, а iOS позволяла делать это, не запрашивая пароль. Знакомо?
Тролль?
>> клоун Стаканчик
> Тролль?Или?
> Некоторое время назад в компанию Apple посыпались жалобы на то, что приложения
> на iPad/iPhone, которым никто не давал прав на доступ к счёту,
> активно списывают с него деньги. Причина оказалась в том, что приложения,
> прежде бывшие бесплатными, стали предлагать приобрести игровые бонусы за реальные деньги,
> а iOS позволяла делать это, не запрашивая пароль. Знакомо?Откуда деньги списывать? Вот прям в телефоне деньги лежат и их оттуда можно... "списать" ))))
> Откуда деньги списывать?Со счёта в банке который привязан к карте, которая привязана к аккаунту, который может без дополнительного геморроя списывать деньги со счёта.
>> Откуда деньги списывать?
> Со счёта в банке который привязан к карте, которая привязана к аккаунту,
> который может без дополнительного геморроя списывать деньги со счёта.Это как вообще? Т.е. я сам в здравом уме разрешаю некоему приложению пользоваться своей картой? И причём тут чья-то система безопасности, коль я сам каким-то образом вбил данные своей карты в приложение, тем самым согласившись со схемой оказания услуги?
>>> Откуда деньги списывать?
>> Со счёта в банке который привязан к карте, которая привязана к аккаунту,
>> который может без дополнительного геморроя списывать деньги со счёта.
> Это как вообще? Т.е. я сам в здравом уме разрешаю некоему приложению
> пользоваться своей картой? И причём тут чья-то система безопасности, коль я
> сам каким-то образом вбил данные своей карты в приложение, тем самым
> согласившись со схемой оказания услуги?Всё хуже, чем в сказке...
Есть сбербанк, допустим через него вы получаете з./п. ( пока выбор за работодателем ), что бы иметь возможность пользоваться картой в сети, вы подключаете мобильный банк, который привязывается к номеру ( без него нереально пользоваться из-за 3D-s ), и теперь завладевший вашим телефоном софт получает доступ как минимум к возможности пополнять счёт этого телефона ( не отключается в сбербанке ), а так же к переводу денег на другой тел. номер ( почти никто не отключает, т.к. отключается вместе с возможностью оплатить парковку к примеру, и другими смс сервисами ).p.s. Мало того ещё сбербанк регулярно вам напоминает как положить денег на этот телефон и на другой смсками, так что даже потерять телефон может быть черевато (хотя и не сильно в больших объемах).
Давно заметил эту фишку, например, когда для firefox и google-chorom'а потребовался доступ к камере, я их не стал обновлять и запретил их автоматическое обновление. А потом обновилась версия самого Android и с ней обновился chrome.
Разрешения на камеру никто не спросил :-(
Epic Fail.
> что привело к нарушению работы сервиса в процессе проверки корректности пакетаВсё, вот и великий google скатился до шайки быдлщкодеров.
Так это же любимая Жаба - глюк, написанный один раз, работает везде - и на устройсвах, и на серверах. Особенно интересно, что это глюк переполнения буфера, который традиционно фигурирует в рассказах жабистов о проблемах Сей.
> Так это же любимая Жаба - глюк, написанный один раз, работает везде
> - и на устройсвах, и на серверах. Особенно интересно, что это
> глюк переполнения буфера, который традиционно фигурирует в рассказах жабистов о проблемах
> Сей.Очередной знаток.
Микрософт опять чешет метлой. Все давно знают, что драная только винда :)
"Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов ___ вообще никогда не получают обновление ОС ___"пугает. Что, это действительно в Android-мире так?