The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В CyanogenMod по умолчанию будет заблокировано получение root-привилегий

17.03.2012 23:08

Разработчики CyanogenMod, развиваемой независимым сообществом альтернативной сборки платформы Android, приняли решение начиная с релиза CyanogenMod 9 по умолчанию отключить возможность выполнения действий под пользователем root. Тем не менее, будет предусмотрена штатная возможность возвращения root-режима для сервисной утилиты ADB и локальных приложений, через изменения настроек в блоке опций для разработчиков (один из разделов интерфейса для управления настройками телефона). Будет предложено четыре режима: отключить root (по умолчанию), включить root для ADB, дать возможность использовать root из локальных приложений, и включить root для ADB и приложений.

Без активации опции, приложениям нельзя будет делегировать права root, что позволит защитить пользователя в случаях, когда он не разобравшись подтверждает любые требования устанавливаемого приложения (например, устанавливая заставку, пользователь не думая соглашается на делегирование прав на выполнение сетевых операций или разрешает доступ к телефонии). До CyanogenMod 9, сторонее приложение могло потребовать прав root в процессе своей работы, в этом случае пользователю выводился запрос с требованием подтвердить данное действие. В случае ADB, удалённые операции осуществлялись по умолчанию с правами root. В CyanogenMod 9, если не поменять настройки и конфигураторе, приложения не смогут запрашивать привилегии root и adb по умолчанию не будет предоставлять сразу доступ в режиме root (на команду "adb root" это не повлияет).

По мнению разработчиков, поставка прошивки, которой пользуется более миллиона человек, с включенной по умолчанию возможностью получения root-доступа из приложений, несёт серьёзные потенциальные проблемы безопасности. Поэтому решено остановиться на разумном компромиссе - обеспечить высокий уровень безопасности по умолчанию для большинства пользователей, при этом дав возможность энтузиастам при желании легко вернуть поддержку использования root.

  1. Главная ссылка к новости (http://www.cyanogenmod.com/blo...)
  2. OpenNews: Интервью с разработчиками Replicant, полностью свободного варианта платформы Android
  3. OpenNews: Европейский фонд СПО анонсировал кампанию "Освободи свой Android"
  4. OpenNews: Открыт код Lima, драйвера для GPU Mali, используемого во многих ARM-чипах
  5. OpenNews: Проект CyanogenMod преодолел рубеж в миллион пользователей
  6. OpenNews: Релиз независимой сборки мобильной платформы Android - CyanogenMod 7.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/33380-cyanogenmod
Ключевые слова: cyanogenmod, android
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:34, 17/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    sudo?
     
     
  • 2.8, pavlinux (ok), 01:08, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +22 +/
    Сначала, через adb, надо будет передёрнуть рубильник.

    ---

    Я вот с внешней частью Андройда познакомился только в октябре.
    Сейчас более-менее сформировался список нужного софта.
    Но я тихо ох...вал, когда первоначально переберал и изучал
    возможности софта. Утиль для работы в качестве велокомпьютера,
    хочет: Доступ к телефонной книге, к контактам, к системе,
    к персональным данным, принимать и отправлять SMS, Фоновые
    режимы передачи данных. Хотя по функциям ей нужен только
    GPS, ANT+ и интернет. Та же ху...ня с обычными шахматами,
    Angry Birds вообще по-моему часть бот-нета, как и многое другое.

    Чё занахер там творится??? 90% софта требуют ресурсы ваааааааааще
    никак не связанные с её функциями

    Так что, запрет рута это только самая малость что возможно сделать.
    Нужен встроенный в сам Андройд RBAC и брандмауэр в режиме DENY ALL.

    Кстати, имеющийся Droidwall - дырявый или кривой, некоторые софтны
    через него пробиваются.    

     
     
  • 3.18, ппппппяяя (?), 04:51, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Аналогичная ситуация.
    Когда ставишь файловый менеджер какой-нибудь, то он чуть ли не как господь Бог просит прав.
     
     
  • 4.40, pavlinux (ok), 15:19, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Аналогичная ситуация.
    > Когда ставишь файловый менеджер какой-нибудь, то он чуть ли не как господь
    > Бог просит прав.

    Не, ну если просит рута, это ещё можно понять, mount -o rw  хочет.
    Так там ещё и бывает доступ к датчикам, телефонной книге...  

     
  • 3.21, Аноним (-), 09:38, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ээ.. разработчики телефонов так всегда и делали - только вот почему-то раздаются крики о огороженности делвайсов.
     
     
  • 4.39, pavlinux (ok), 15:16, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Одно дело Nokiа, Sony, там хоть какая-то уверенность есть Что если сольют данн... большой текст свёрнут, показать
     
     
  • 5.56, XoRe (ok), 18:58, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В cyanogen можно запрещать приложению какие-то права - есть такая опция в настройках системы.
    Там, где список прав приложения, щелкаешь по праву, оно становится зачеркнутым.
    И все.
    Правда, после этого работоспособность приложения никто не гарантирует.

    В остальном (ужесточение требований и т.д.) - конечно, согласен.

     
     
  • 6.72, Crazy Alex (ok), 13:44, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Кроме запрета нужна альтернатива - фейковые права. Хочешь SMS? Да пожалуйста, вот тебе эмуляция отправки. Заодно, по настройкам пользователя эту SMS в лог положат. IMEI нужен - вот тебе рандомный липовый, который может указать пользователь. Хочешь интернет - пожалуйста, вот тебе ответ "связь отсутствует", и так далее.
     
     
  • 7.73, Viliar (ok), 14:08, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    солидарен
     
  • 7.79, XoRe (ok), 10:22, 20/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме запрета нужна альтернатива - фейковые права. Хочешь SMS? Да пожалуйста, вот
    > тебе эмуляция отправки. Заодно, по настройкам пользователя эту SMS в лог
    > положат. IMEI нужен - вот тебе рандомный липовый, который может указать
    > пользователь. Хочешь интернет - пожалуйста, вот тебе ответ "связь отсутствует", и
    > так далее.

    согласен

     
     
  • 8.80, Andrey Mitrofanov (?), 11:12, 20/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    PDroid patch http forum xda-developers com showthread php t 1357056 ... текст свёрнут, показать
     
     
  • 9.82, Crazy Alex (ok), 19:44, 20/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ага Почти оно Надо ещё эмулировать успешную отсылку SMS и подсовывать липовую ... текст свёрнут, показать
     
  • 3.44, 1 (??), 16:34, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Настройки - приложения - управление приложениями - выбор программы - тап по разрешению - оно зачёркивается - profit
     
     
  • 4.59, Аноним (-), 20:19, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Настройки - приложения - управление приложениями - выбор программы - тап по
    > разрешению - оно зачёркивается - profit

    Остается только вопрос что оно _уже_ успело слить...

     
     
  • 5.70, Аноним (-), 13:03, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Зришь в корень!!!
    А почему не сделать эмуляцию пустышек всех прав всем приложениям,
    и разрешать только по запросу перед использованием, например на неделю.
    Ах да, это-же "свободный" андроид.

    Кстати, на что можно нормальный линукс поставить?

     
  • 4.60, pavlinux (ok), 20:49, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Настройки - приложения - управление приложениями - выбор программы - тап по
    > разрешению - оно зачёркивается - profit

    Нет такого, точнее есть, но оно не зачёркивается.

     
     
  • 5.67, Аноним (-), 12:01, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Речь идёт о CyanogenMod, в Android не зачёркивается, да.
     
  • 3.57, FilimoniC (ok), 19:16, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Там есть "прикол" в том, что "дерево" объектов доступа не очень корректно в Андроиде. Так, например, доступ к штатной системе синхронизации данных надо получать через "адресную книгу", а уровень сигнала WiFi - через "Доступ в интернет". (Я это из башки сейчас придумал, но там что-то подобное имеется).
    Некоторые разработчики Free-софта пишут в описании программ что-то вроде "Программа требует доступ к адресной книге т.к. используемая система синхронизации - её подсистема", но, к сожалению, таких очень мало (да и верить таким заявлениям нужно осторожно).
     
     
  • 4.62, pavlinux (ok), 20:57, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Там есть "прикол"

    Пора бы уж разрулить подобные костыли, чай не бета, а ужо 4.0

     
     
  • 5.68, Аноним (-), 12:02, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Там есть "прикол"
    > Пора бы уж разрулить подобные костыли, чай не бета, а ужо 4.0

    И сломать все существующие приложения? Google на это не пойдёт.

     
     
  • 6.69, pavlinux (ok), 13:00, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Там есть "прикол"
    >> Пора бы уж разрулить подобные костыли, чай не бета, а ужо 4.0
    > И сломать все существующие приложения? Google на это не пойдёт.

    Конечно не пойдёт, им бабло надо стричь.

     
     
  • 7.71, Аноним (-), 13:05, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> Там есть "прикол"
    >>> Пора бы уж разрулить подобные костыли, чай не бета, а ужо 4.0
    >> И сломать все существующие приложения? Google на это не пойдёт.
    > Конечно не пойдёт, им бабло надо стричь.

    Ну да, ведь вы уже купили девайс!!!

    Чо теперь сопли дуть?

     
  • 3.63, Gambler (ok), 21:20, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ситема разрешений Андройда сделана изначально криво Ведь на большинстве Андройд... большой текст свёрнут, показать
     
     
  • 4.64, pavlinux (ok), 01:03, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > (Скажем, большая часть PCшных троянов работает потому, что какой-то дебил-дизайнер решил,
    > что запуск файла и открытие файла установленным заранее приложенеим должны выглядеть
    > одинаково. Не должны.)

    Да! VAX/VMS рулёз форева!!!


     
  • 4.81, fx (ok), 12:28, 20/03/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    скажите, а зачем Вы Андроид обзываете Андройдом?
     
     
  • 5.83, arisu (ok), 23:41, 21/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > скажите, а зачем Вы Андроид обзываете Андройдом?

    а это у современной молодёжи kernel bug. войн, андройд. нравится, видимо, им эта закорючка. а зачем павлин выпендривается — не знаю.

     
  • 3.75, northbear (ok), 01:15, 20/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Дык... Халявный софт поди ставишь? Посмотри на хотелки коммерческих аналогов. Сравни, удивись, задумайся и расслабься.

    Кто-то же должен заплатить за вашу халяву. Вот этот кто-то и заплатит вашими персональными данными в случае чего. ))

    Впрочем вариант, что у конкретного разработчика руки из ж. тоже не исключен.

     
     
  • 4.76, pavlinux (ok), 01:24, 20/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > задумайся и расслабься.

    Выдыхай, зря старался. Весь нужный софт - оплаченый. :D

     

  • 1.3, nal (ok), 00:07, 18/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Судя по первоисточнику, если я правильно понял его, по умолчанию будет выдаваться запрос: позволить ли приложению запросившему права суперпользователя получить их или нет.
    Сейчас, в 7.1 версии, по сути, тоже самое...

    P.S.: зря удалили пост про Гнусмас, по логике вещей, подобное требование идет от них. Т.к. отмазки про безопасность звучат не убедительно, тот кто сам ставит
    CyanogenMod отдает себе отчет в том, как использовать рута, а кто не знает, что с ним делать, сидит на прошивке производителя и ему глубоко фиолетово на безопасность, т.к. об этом позаботились маркетологи рекламирующие Android в своих устройствах. Какой он безопасный и открытый, потому что Google...

     
     
  • 2.6, Shtsh (ok), 00:27, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет. Там именно что опция в настройках для разработчиков. Если откллючить, то никаких запросов не будет - просто никто не будет видеть, что есть возможность доступа. А если включить, то будет как в 7.1 отображаться запрос на получение прав.

    Ставил и видел )

     
     
  • 3.24, Аноним (-), 09:53, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +1 Такое ощущение, что большинство комментаторов CyanogenMod никогда не видели и не в курсе о каком делегировании root-прав речь. Поэтому судят с позиции пользователей проприетарных прошивок, в которых чтобы добраться до рута нужно эксплоит применять и через adb шаманить.

     
  • 2.46, letsmac (ok), 17:08, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Т.к. отмазки про безопасность звучат не убедительно, тот кто сам ставит

    CyanogenMod отдает себе отчет в том, как использовать рута, а кто не знает, что с ним делать,

    Ты не поверишь сколько красноглазых типов ставят циноген ничего не подозревающим простым блондинкам. Со всеми вытекающими.

     

  • 1.5, Аноним (-), 00:27, 18/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё правильно сделали!
    Ждем версию 9!!!!
     
     
  • 2.15, Avator (ok), 03:10, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё правильно сделали!
    > Ждем версию 9!!!!

    Сижу сейчас на сборках из репозитория Cyanogen 9 для GalaxyTab 10.1.
    Это просто сказка какая-то. По сравнению даже с 3им андройдом всё летает.

     
     
  • 3.26, Аноним (-), 11:14, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Всё правильно сделали!
    >> Ждем версию 9!!!!
    > возврат к анальной огороженности стандартных прошивок ?:)
    > Это типа все верно ?:)

    То что было раньше можно сравнить с тем, что если бы на ПК для получения рута выводился не запрос пароля, а вопрос "вы уверены, что хотите войти под пользователем Root ? Yes/No". Сейчас все правильно сделали, хочешь использовать рута, зайди в настройки и поставь нужную галочку. А то, сейчас для CyanogenMod половина разных левых утилит, например, для мониторинга, рута хотят. Ещё немного и скринсейверы начали бы появляться, которым нужен root.

     
     
  • 4.66, GG (ok), 10:40, 19/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Скринсейверов уже полно рутовых
     

  • 1.10, Аноним (-), 01:37, 18/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а что им мешает сделать системную настройку - разрешать рута или нет? Не разрешать по дефолту - все аппы идут лесом. Разрешать (для чего надо явно сходить в настройки) - ок, юзер знает что делает. А adb зачем?
     
     
  • 2.12, Shtsh (ok), 01:40, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Интересно, а что им мешает сделать системную настройку - разрешать рута или
    > нет? Не разрешать по дефолту - все аппы идут лесом. Разрешать
    > (для чего надо явно сходить в настройки) - ок, юзер знает
    > что делает. А adb зачем?

    Ты не поверишь, но так и сделано :) А то в комментах одна пурга какая-то.

     
     
  • 3.17, Аноним (-), 03:55, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты не поверишь, но так и сделано :)

    А что за фигня в новости про adb и только так?

     
     
  • 4.22, Аноним (-), 09:39, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А что за фигня в новости про adb и только так?

    В новости написано "возвращения root-режима _для_ сервисной утилиты ADB и локальных приложений", т.е. чтобы до рута добраться через adb тоже придётся опцию включать.

     

  • 1.19, Аноним (-), 09:09, 18/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    И правильно. Для четверки по большому счету рут уже и не нужен
     
     
  • 2.53, Аноним (-), 18:20, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Исключительно ЧСВ почесать.
     

  • 1.27, Vcoder (ok), 11:43, 18/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Извиняюсь, если спрошу фигню, но тут я немножечко в танке. У меня два вопроса:

    1) Верно ли я понял, что теперь появилось нечто наподобие sudo в линуксе? То есть когда нужно запустить что-то от рута, то либо вводишь пароль, либо ставишь соответствующий флажок?

    2) Вот это занимает меня больше всего. Представляется ли возможным невзирая на запросы приложения (например заставка хочет доступ к телефонной книге, к списку вызовов, отправлять смс, интернет) выбирать, какие же разрешения дать, а какие нет? Чтобы с одной стороны программа установилась, а с другой стороны не дать ей разгуляться по полной. Я это представляю так: вместо нынешнего запроса "разрешить ли следующие привилегии?" при установке программы выскакивает запрос "какие привилегии разрешить для этой программы?", где можно отметить только то, что считаешь нужным.

     
     
  • 2.28, ABATAPA (ok), 12:10, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. "Подобие" было. Сейчас просто по умолчанию, пока не поставишь галку в настройках, даже вопроса не будет - сразу "нет".

    2. PDroid.

     
  • 2.45, 1 (??), 16:38, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    2) CyanogenMod


     
  • 2.52, Ананимуз (?), 17:59, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    2) в цианогене это давно штатный функционал. Другое дело, что масса софта с зарезанными правами просто не запускается.
     
     
     
    Часть нити удалена модератором

  • 4.37, vi (?), 13:44, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    И конечно же есть места где плотность хороших людей выше среднего!


     

  • 1.43, CSRedRat (ok), 16:17, 18/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Считаю, что при установке приложения необходимо выделять степень опасности разрешения, которое требует приложение и сразу иметь возможность отключить нужные права. + сразу надстроить управление трафиком. Это ведь не сложно выделять небезопасные привилегии и возможность их запрета (запрет относится к стандартному Android, т.к. нативного инструмента там для этого ещё нет).
     
     
  • 2.47, letsmac (ok), 17:09, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ты серьезно полагаешь, что "userus usuallus" сможет вообще понять о чем запрос идет?


     
     
  • 3.58, AlexYeCu (ok), 19:39, 18/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Для userus usuallus есть искаробочная предустановленная оська, не?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру