The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость, позволяющая внести изменения Android-пакеты ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость, позволяющая внести изменения Android-пакеты ..."  +/
Сообщение от opennews (??) on 04-Июл-13, 10:28 
Исследовательская лаборатория Bluebox Labs сообщила (http://bluebox.com/corporate-blog/bluebox-uncovers-android-m.../)  о намерении раскрыть на конференции Black Hat, которая состоится 27 июля,  детали необычной уязвимости в платформе Android, позволяющей формировать цифровые подписи верифицируемые первичным ключом платформы. По заявлению исследователей уязвимости подвержены 99% всех устройств на базе платформы Android.

С практической стороны, уязвимость позволяет внести изменения в APK-пакеты программ, без нарушения проверочной цифровой подписи, которая остаётся корректной и не сигнализирует об изменении начинки пакета (например, можно подставить в пакет троянскую вставку, но пакет не вызовет подозрений и будет выглядеть как созданный авторами приложения). Компания Google была информирована о выявленной проблемы в феврале. Проблема проявляется во всех ветках платформы, начиная с Android 1.6. В качестве наиболее опасного применения уязвимости называется возможность распространения фиктивных обновлений от имени производителя устройства, которые могут предоставить злоумышленнику полный контроль над аппаратом.

<center><a href="http://bluebox.com/wp-content/uploads/2013/06/exploit.png&qu... src="http://www.opennet.me/opennews/pics_base/0_1372918512.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>


URL: http://bluebox.com/corporate-blog/bluebox-uncovers-android-m.../
Новость: http://www.opennet.me/opennews/art.shtml?num=37355

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +2 +/
Сообщение от Сергей (??) on 04-Июл-13, 10:33 
И не такое бывало...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

125. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от pavlinux (ok) on 05-Июл-13, 01:37 
О великий и могучий Админ! Сделай на Опеннет возможность написания комментариев
только после прохождения IQ-теста, диплома из Технического ВУЗа иль Физ.-мат. школы,
паспортных данных и хотя бы одно частное решение уравнения Шредингера.

ЗАДОЛБАЛИ НИЖЕ НАПИСАВШИЕ ДЕБИЛЫ! НЕ СПОСОБСТВУЙТЕ ИХ РАЗМНОЖЕНИЮ!

Заходишь сюда как общественный сортир, где говно по стенам пальцем размазано!

  

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

131. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +3 +/
Сообщение от Аноним (??) on 05-Июл-13, 11:47 
1) предъяви аттестат (большего не прошу)
2) это уже будет не опеннет
Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

3. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +27 +/
Сообщение от Аноним (??) on 04-Июл-13, 10:50 
звонилка за 1000р спасет от любых узвимостей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –2 +/
Сообщение от username (??) on 04-Июл-13, 12:23 
на firefox os
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –1 +/
Сообщение от 1 (??) on 04-Июл-13, 13:31 
gonk в ffos основан на андроиде...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

40. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –1 +/
Сообщение от Аноним email(??) on 04-Июл-13, 14:51 
Тролль. Если ОС на линукс, то не факт, что на андроиде. Она использует кое какие библиотеки дроида, однако это ОС сама на себя и не поддерживает приложения дроида.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

22. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +3 +/
Сообщение от Гость on 04-Июл-13, 13:19 
зато:
хрен обновишь прошивку в этой звонилке (если и есть возможность, то никто её "пилить" не будет), часто они работают на полную мощь вне зависимости от того, далеко-ли базовая станция, урезанная адресная книга (каждое имя на 8-12 символов) и т.д. и т.п.
звони, наслаждайся
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

23. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Гость on 04-Июл-13, 13:21 
кстати, вопрос о прошивке возник из-за обычно её полной глюклявости. Т.к. сейчас весь софт так пишут - лишь бы побыстрей продукт выпустить, а уж обновления потом. Только потом они забывают, что обновить-то её не получится
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от qwerty (ok) on 04-Июл-13, 13:38 
Плюс таких звонилок - отсутствие какого-либо обновления прошивки. Вот ни разу ни одного бага не видел, правда.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +4 +/
Сообщение от Гость on 04-Июл-13, 13:42 
мало пользовался.
А может и правда, есть таки в природе такой "чудо-производитель", что без единого бага первую прошивку выпускает... :-)
Я в своей уже штук эдак несколько насчитал. Самая крайняя - смс-ки пришедшие пропадают, задолбало, если честно
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

48. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от Клыкастый (ok) on 04-Июл-13, 15:15 
fly. толковые в общем-то звонилы становятся толковыми после 1-2 обновлений прошивы. e135 - отличная весчь - из коробки вис при настройке gprs и не имел заявленной софтовой клавы. после второй прошивы всё починили да ещё втыкнули рукописный набор.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

92. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:37 
> Плюс таких звонилок - отсутствие какого-либо обновления прошивки. Вот ни разу ни
> одного бага не видел, правда.

Конечно - такую мерзость из кармана противно доставать лишний раз. При этом разумеется ни 1 бага не найдешь :)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

130. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 05-Июл-13, 11:12 
То ли дело гейфон - достал, и к ЧСВ добавилось еще +10.
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

136. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от ACCA (ok) on 05-Июл-13, 20:28 
> её "пилить" не будет), часто они работают на полную мощь вне
> зависимости от того, далеко-ли базовая станция, урезанная адресная книга (каждое имя

Болтун. Сначала матчасть подучи.
"На полную мощь вне зависимости" в GSM не работают, сигнал невозможно будет декодировать.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

142. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Гость on 10-Июл-13, 08:31 
Да, тормознул. Вчера проверил, действительно, не в мощности дело
Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

140. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от burjui email on 09-Июл-13, 22:25 
А также от любого функционала.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –8 +/
Сообщение от Аноним (??) on 04-Июл-13, 10:57 
А что звонилка? Мозгов уже не хватает на андроиде интернет отключить и воздержаться от обновлений?

Другой вопрос, могут ли такой пакет засечь антивирусы...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +9 +/
Сообщение от Аноним (??) on 04-Июл-13, 11:17 
Точно! На Андроиде надо отключать интернет!
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

54. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +4 +/
Сообщение от Аноним (??) on 04-Июл-13, 15:27 
С учетом того какой на ведроиде софт - это наверное единственный разумный вариант.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

74. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от Crazy Alex (??) on 04-Июл-13, 17:09 
достаточно выкинуть гугломаркет и пользоваться открытым софтом - он для андроида вполне есть.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

94. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от Аноним (??) on 04-Июл-13, 18:39 
> достаточно выкинуть гугломаркет и пользоваться открытым софтом - он для андроида вполне есть.

Угу, есть. Только вот чего-то уровня x-chat элементарного - не найдешь ни открытого, ни закорытого, ни даже если душу дьяволу продать. А так все хорошо, прекрасная маркиза.

Зато 100500 нотпадов с троянами от школьников ждут в маркете своих лохов. Какой вендор - такая и платформа.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

107. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от anonymous (??) on 04-Июл-13, 19:24 
>> достаточно выкинуть гугломаркет и пользоваться открытым софтом - он для андроида вполне есть.
> Угу, есть. Только вот чего-то уровня x-chat элементарного - не найдешь ни
> открытого, ни закорытого, ни даже если душу дьяволу продать. А так
> все хорошо, прекрасная маркиза.

Yaaic не подойдёт?


Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

122. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от andy (??) on 04-Июл-13, 23:01 
> Угу, есть. Только вот чего-то уровня x-chat элементарного - не найдешь ни
> открытого, ни закорытого, ни даже если душу дьяволу продать. А так
> все хорошо, прекрасная маркиза.

User, а есть какие-либо репозитории для N9? Неофициальные, так как
на Nokia, в ее нынешнем положении, расчитывать себе дороже. Пакеты
каким образом можно собрать для данной ос? Задаю вопросы, потому
как думаю о покупке n9.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

123. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 05-Июл-13, 00:43 
Его сборки неизвесными челами в рамках проекта fdroid вызывают не больше доверия чем сам гугль, но fdroid много удобнее.

По теме же. Это фича гугля. Они планировали что-то пихать во все пакеты (например, рекламные модули) Теперь с нарисованным удивление закроют "уязвимость"

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

9. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +11 +/
Сообщение от Аноним (??) on 04-Июл-13, 11:35 
антивирус головного мозга
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +9 +/
Сообщение от YetAnotherOnanym (ok) on 04-Июл-13, 12:03 
То есть, купить смартфон и превратить его в звонилку за 1000 р.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

34. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Михаил (??) on 04-Июл-13, 14:08 
Звонилка с интернетом автоматически превращается в смартфон?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

78. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от Аноним (??) on 04-Июл-13, 17:22 
Нет, но смартфон без Интернета автоматически превращается в звонилку.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

124. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 05-Июл-13, 00:47 
> Нет, но смартфон без Интернета автоматически превращается в звонилку.

Молодежь подросла. Раньше "смартфоны" (они же КПК) и звонить не могли, потом научились, но интернет был так дорог и тормознут, что никто им не пользовался. В плане мобильного интернета ничего не изменилось, поэтому я продолжаю не пользоваться на смарте за 20 кусков. Это баловство, по большей части. На крайняк есть вайфай.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

127. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 05-Июл-13, 09:53 
Молодежь подросла. Раньше вообще не было Интернетов в этих ваших мобильниках.
Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

128. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 05-Июл-13, 09:54 
Молодежь подросла. Раньше вообще не было мобильников, зато были нофелеты.

Ну и так далее...


Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

17. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +3 +/
Сообщение от Аноним (??) on 04-Июл-13, 12:43 
Антивирус? Это что такое?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

36. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 14:31 
> Антивирус? Это что такое?

(ехидно) Сифилис можно поймать даже не видя никогда в жизни живую бабу, не поверишь!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

49. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –1 +/
Сообщение от Клыкастый (ok) on 04-Июл-13, 15:17 
> (ехидно) Сифилис можно поймать даже не видя никогда в жизни живую бабу, не поверишь!

(с сарказмом) давайте не будем о педерастах.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

64. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Сергей (??) on 04-Июл-13, 16:22 
педерасты годны только для того, чтобы над ними глумиться
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

109. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от тень_pavel_simple on 04-Июл-13, 19:47 
> педерасты годны только для того, чтобы над ними глумиться

БДСМ'шик?

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

5. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от vitalif email on 04-Июл-13, 10:59 
Гм, интересно, как это. Ждём с нетерпением.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от robux (ok) on 04-Июл-13, 12:21 
Делается так: в пакет добавляется нужный троян, а чтобы подпись била, дополнительно добавляется специально подобранный (методом перебора) блок данных.

Видимо, там хэш ненадежный, его длина маленькая, или хэширование глупо применяется.

Гугл - корпорация, которая сливает данные в спецслужбы (в АНБ ЦРУ, например).
И как ниже уже правильно заметили, эта "ошибка при проектировании" вряд ли допущена случайно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

45. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от pro100master (ok) on 04-Июл-13, 14:58 
>а чтобы подпись била, дополнительно добавляется специально подобранный

бьющие по лицу подписи это facepalm :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

84. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от robux (ok) on 04-Июл-13, 17:39 
> бьющие по лицу подписи это facepalm :)

петросян, ты щас здесь что ли выступаешь?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

46. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от nyt on 04-Июл-13, 15:01 
Блок подбирать будешь лет сто. Судя по сообщении ты понятия не имеешь о том, как работает подпись в андроиде.

Дыра, скорее всего, где-нить в dalvik-кэше - возможно там пропускается проверка подписи.

Ну а уязвимость, как обычно, со всеми уязвимостями в андроиде - сначала нужно установить приложение, которое будет иметь рут-доступ и сможет заразить другие apk. Кто устанавливает такие приложения - ССЗБ.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

56. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –3 +/
Сообщение от linux must __RIP__ on 04-Июл-13, 15:38 
md5 нонче подбирают за несколько часов..
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

81. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от onibi on 04-Июл-13, 17:26 
Угу, пару часов, когда подбираешь пароль, да и то при наличии rainbow-таблиц (а с солькой даже они не шибко помогают). В случаях с бинарями всё не так просто и тривиально.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

87. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от nyt on 04-Июл-13, 17:47 
> md5 нонче подбирают за несколько часов..

Да ну! Расскажите нам подробнее про коллизии. И про радужные таблицы. И напишите пост про недостатки несолёных хэшей.
Только при чём тут сабж и Android в частности, использующий криптографическую подпись с открытым/закрытым ключом?

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

95. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:41 
> md5 нонче подбирают за несколько часов..

Подберешь мне парочку? :)

Хинт: подбираются только относительно короткие/известные пароли - по радужным таблицам и прочая. Еще есть коллизии, но они не произвольные и применимы очень ограниченно.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

114. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от iWLCkhBrBeDTGA on 04-Июл-13, 20:19 
Это не md5 подбирается, а пароли; и не за пару часов, а когда как. А чистый md5 просто быстро работает.

Если же речь идёт не о паролях, а о электронной подписи, то нужно перебрать в среднем порядка 2^64 вариантов сообщения для того, что бы вероятность успеха превысила 0,5. Под сообщением понимается то, что собственно подписывается (пакет apk).

Предположим, можно генерировать 1*10^9 валидных пакетов в секунду. Тогда потребуется в среднем что-то около 500 лет.

Короче, вариант с тупым перебором отпадает.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

126. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 05-Июл-13, 01:43 
Ты или не знаешь о чём говоришь, или знаешь что-то такое, чего не знают почти все криптографы, работая в АНБ. Впрочем, ты же всё время лажаешь...
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

103. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от xapienz on 04-Июл-13, 19:14 
> Ну а уязвимость, как обычно, со всеми уязвимостями в андроиде - сначала
> нужно установить приложение, которое будет иметь рут-доступ и сможет заразить другие
> apk. Кто устанавливает такие приложения - ССЗБ.

Владельцы какого-нибудь стороннего маркета (практически любой китайский андроидфон имеет свой китайский маркет) могут подсунуть "правильное" обновление системного приложения типа Play Market или Gmail, а у них набор разрешений довольно большой.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

108. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от nyt on 04-Июл-13, 19:25 
> Владельцы какого-нибудь стороннего маркета (практически любой китайский андроидфон имеет
> свой китайский маркет) могут подсунуть "правильное" обновление системного приложения
> типа Play Market или Gmail, а у них набор разрешений довольно
> большой.

Да, такое возможно, если этот троян можно встроить именно в apk. Описание бреши достаточно размыто и непонятно, толи обходится вообще подпись приложения или же нашли способ обхода только проверки подписи установленного apk.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

6. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –1 +/
Сообщение от Аноним (??) on 04-Июл-13, 11:15 
Ну, чувствую что сейчас куча битсквоттеров побежит регать доменные имена и внедрять на своих серваках протрояненные аппликухи.

Весело живем))

P.S. У меня N9 =Р

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +3 +/
Сообщение от commiethebeastie (ok) on 04-Июл-13, 11:23 
Лох он и так проигнорирует все предупреждения, лишь бы взломщик опсосов заработал.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

96. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:41 
> Лох он и так проигнорирует все предупреждения, лишь бы взломщик опсосов заработал.

При наличии правильной подписи предупреждений не будет. Что особенно забавно.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

33. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от qwerty (ok) on 04-Июл-13, 13:57 
Я как-то не уверен, что это сработает. Сам битсквоттинг под сильным вопросом находится.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

115. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от iWLCkhBrBeDTGA on 04-Июл-13, 20:21 
> P.S. У меня N9 =Р

Сначала прочитал "NP=P"...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

117. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –1 +/
Сообщение от Аноним (??) on 04-Июл-13, 20:35 
> У меня N9 =Р

Это че такое? Размер в сантиметрах? Нашел, чем гордиться.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 11:43 
Ну нифига себе, они с февраля еще чухаются ? Может они для себя эту дырочку оставили ?)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +3 +/
Сообщение от Sylvia (ok) on 04-Июл-13, 11:46 
>обновлений от имени производителя устройства, которые могут предоставить злоумышленнику полный контроль над аппаратом.

ну почему обязательно злоумышленнику, почти универсальный способ рута же :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Crazy Alex (??) on 04-Июл-13, 17:18 
Кстати да, если есть что-то еще не рутованное - явный шанс это исправить.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +2 +/
Сообщение от Crazy Alex (ok) on 04-Июл-13, 11:57 
Вот она - идиотская модель в действии. Когда уже люди поймут - недоверенный код просто нельзя запускать, а не полагаться на механизмы платформы. http://f-droid.org и цианоген в случае надобности в смене прошивки - и будете спать спокойно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Sergey722 (ok) on 04-Июл-13, 12:59 
Они этому коду доверяют!!!
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –2 +/
Сообщение от Аноним (??) on 04-Июл-13, 14:37 
> Они этому коду доверяют!!!

Все просто, д е б и л ы. Нет такой концепции в безопасности как "вера" или "доверие". Доверие идет от знания. И только оттуда. Вы визжали, что открытый код - гарантия от такого, что миллионы мух читают и изучают код. Что, скушали? Не так, оказывается, в реальном-то мире? Никто не читает? Гнуть пальчики - "Я - гик, я умею ./configure && make && make install" так-то проще? Пусть другие прочтут, а я поверю и доверю? Ну фуле, жрите теперь. Чем вы лучше закрытого ПО только....

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

65. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –2 +/
Сообщение от Сергей (??) on 04-Июл-13, 16:34 
>> Они этому коду доверяют!!!
> Все просто, д е б и л ы. Нет такой концепции в
> безопасности как "вера" или "доверие". Доверие идет от знания. И только
> оттуда. Вы визжали, что открытый код - гарантия от такого, что
> миллионы мух читают и изучают код. Что, скушали? Не так, оказывается,
> в реальном-то мире? Никто не читает? Гнуть пальчики - "Я -
> гик, я умею ./configure && make && make install" так-то проще?
> Пусть другие прочтут, а я поверю и доверю? Ну фуле, жрите
> теперь. Чем вы лучше закрытого ПО только....

Открытое ПО лучше тем, что я, как программист, могу его допилить, если мне нужно (а нужно это почти всегда). А в плане безопасности я бы сказал, что открытое ПО как минимум не лучше закрытого именно по причине доступности исходников и удобства их анализа (не нужно ничего дизассемблировать и рыться в кодах процессора). Не секрет, что исходники больше всего изучают хакеры с целью поиска уязвимостей, дальнейшей их эксплуатации и получения профита от этого, но не те, кто хочет проверить его безопасность (таковых единицы - слишком маленький стимул и денег за это никто не заплатит, да и поиск может оказаться безрезультатным, поэтому безопасность остаётся уделом компаний, зарабатывающих на открытом ПО, но почти никогда - энтузиастов, но и для компаний безопасность ПО редко является приоритетом).

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

75. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –1 +/
Сообщение от Crazy Alex (??) on 04-Июл-13, 17:11 
Если вы код не смотрите - это не значит, что все такие
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

83. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Сергей (??) on 04-Июл-13, 17:38 
> Если вы код не смотрите - это не значит, что все такие

Смотреть мало, нужно вникать!

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

97. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:43 
> Чем вы лучше закрытого ПО только....

Какой сочный батхерт у проприераса. Прямо любо-дорого смотреть. Заходите почаще, люблю когда у мyдaков батхерт.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

104. "Уязвимость, позволяющая внести изменения..."  +/
Сообщение от arisu (ok) on 04-Июл-13, 19:18 
всегда приятно, когда у подстилок типа тебя истерики.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

20. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Lexa3110 (ok) on 04-Июл-13, 13:00 
Что нельзя запускать недоверенный код - понятно, но все-таки что за цифровая подпись такая, что "не замечает" внедренный или измененный код???
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

37. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Crazy Alex (??) on 04-Июл-13, 14:35 
Баг как баг. Всякие они бывают. Вон, на PS3 вообще секретный ключ восстановить умудрились
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

13. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +8 +/
Сообщение от Аноним (??) on 04-Июл-13, 12:00 
Нашли бэкдор - спецслужбы развели руками - нухренсвамиразнашли, только говорите что это уязвимость...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 12:47 
Если я правильно понял, становится возможной MITM атака? Ну тогда если обновляться только дома с доверенного Wi-Fi, то не страшно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Andrey Mitrofanov on 04-Июл-13, 13:14 
> Если я правильно понял, становится возможной MITM атака? Ну тогда если обновляться
> только дома с доверенного Wi-Fi, то не страшно.

Да, ладно MITM, даёшь .apk вирусы!! //Касперский добряет.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

98. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:45 
> только дома с доверенного Wi-Fi, то не страшно.

А как, собственно, ты проверил что никто не исказил траффик по пути? В случае подписи - ну тут понятно чего. Но если она не работает - все становится интереснее.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

110. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 19:53 
Кто его по маршруту телефон-мой Wi-Fi-провайдер-интернет-сервер мог исказить? Ну, при условии, что за мной не охотятся 10 мегахакеров.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

116. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от iWLCkhBrBeDTGA on 04-Июл-13, 20:24 
DNS-спуфинг и левый сервер на любом участке, например?
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

118. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 20:47 
Параноики...

Это - безопасный путь, для того, чтобы что-то подменить на этом участке надо, в самом простом случае, иметь доступ к провайдеру. То есть кулхацкер Вася сразу идёт нафиг, а больше никому мы и не нужны, по большей части. Да и для защиты от атак такого типа нужно что-либо покруче цифровой подписи.

И да, про SSL не забываем, он подвести не должен.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

137. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от iWLCkhBrBeDTGA on 05-Июл-13, 22:17 
А теперь представим, что Вася работает в компании провайдера и ему нечем заняться.

И на счёт ssl – тут тоже всё не так радужно. Вроде как уже были случаи.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

119. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Васёк email on 04-Июл-13, 20:54 
> мой Wi-Fi

всегда проверяешь BSSID, подключаясь к "твоему" Wi-Fi? :]

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

121. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 21:16 
У меня нет Wi-Fi, начнём с этого. Но если бы был, я думаю телефон запомнил бы его параметры и проверил за меня.
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

141. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от iWLCkhBrBeDTGA on 09-Июл-13, 23:47 
Так у "левой" сети будут совпадать (с "настоящей") как BSSID, так и ESSID.
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

24. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 13:28 
В любой программе из трёх строк уже есть ошибка
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от qwerty (ok) on 04-Июл-13, 13:36 
echo "one";
echo "two";
echo "three"

Ищите ошибки ;-)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от anonymous (??) on 04-Июл-13, 13:40 
Нашел. В третьей строке нет точки с запятой в конце.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от qwerty (ok) on 04-Июл-13, 13:54 
Если это последняя строка, то не нужно. А у нас ведь программа из трёх строк.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

47. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от anonymous (??) on 04-Июл-13, 15:13 
И на чем написана эта программа?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

51. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +5 +/
Сообщение от Клыкастый (ok) on 04-Июл-13, 15:20 
> И на чем написана эта программа?

(с удивлением) на опеннете же.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

52. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Andrey Mitrofanov on 04-Июл-13, 15:24 
>> И на чем написана эта программа?
> (с удивлением) на опеннете же.

Глазастый, нашёл главную ошибку.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

57. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 15:51 
bash (а если быть точнее - просто sh, без расширений bash)
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

86. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 17:42 
Тогда - шебанга нет :) Ошибка!
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

89. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:27 
Это не часть программы, а лишь указание, чем исполнять. Работает и без неё.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

59. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 15:59 
> Если это последняя строка, то не нужно. А у нас ведь программа
> из трёх строк.

И да, они в принципе вообще не нужны, сейчас свои старые скрипты глянул. Нужны только если в одну строчку.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

50. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от аТфьу email on 04-Июл-13, 15:20 
программа неработает... после её запуска у меня дискета в дисководе не отформатировалась, хотя запускал в разных интерпретаторах...
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

58. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 15:58 
Держите

echo "one";
fdformat /dev/fd0;
echo "two"

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

66. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от аТфьу email on 04-Июл-13, 16:41 
"бракоделы"... :) ни на си, ни на php ни в досе неработает... и даже "чижик-пыжика" не играет на моём epson lq-100... возможно надо во второй строчке написать system(fdformat /dev/fd0) или format a: /q?

З.Ы. программа должна "начинаться" с постановки задачи, которую она признана выполнить, "инструмента", с помощью которого суть задачи будет доведена до ПК и т. д. :)

З.З.Ы. можно конешно и сперва код написать, а потом искать условия(интерпретаторы/компиляторы/операционки/процесоры и т д) при которых он будет безошибочно работать, но это достадочно не прозаичная задача и доступна совсем малому количеству людей :)))

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

67. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 16:50 
Виндузятник, так бы сразу и написали. На Sh оно, если в винде его нет - проблемы винды.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

72. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от аТфьу email on 04-Июл-13, 17:02 
> Виндузятник, так бы сразу и написали.

в отличии от некоторых знаю, что fdformat - внешняя программа, а не команда sh...

> На Sh оно, если в винде
> его нет - проблемы винды.

или пользователя незнающего о http://sourceforge.net/projects/portableubuntu/, http://www.colinux.org/, и прочем... ;)

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

73. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 17:07 
>> Виндузятник, так бы сразу и написали.
> в отличии от некоторых знаю, что fdformat - внешняя программа, а не
> команда sh...

Если вам нечем его запустить, зачем упоминать о том, что оно использует вызовы к внешним программам? Один фиг работать не будет.


Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

82. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 17:26 
> в отличии от некоторых знаю, что fdformat - внешняя программа, а не
> команда sh...

Ну-ка, ну-ка. Какие такие команды sh?

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

93. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:39 
http://www.opennet.me/docs/RUS/bash_scripting_guide/c5358.html просвещайся
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

80. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 17:25 
> Держите
> echo "one";
> fdformat /dev/fd0;
> echo "two"

Ты забыл написать, что нужен дисковод и дискета в нем.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

71. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Сергей (??) on 04-Июл-13, 16:52 
> echo "one";
> echo "two";
> echo "three"
> Ищите ошибки ;-)

Сначала расскажи, что ДОЛЖНА делать эта программа ;)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

79. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от Аноним (??) on 04-Июл-13, 17:24 
> echo "one";
> echo "two";
> echo "three"
> Ищите ошибки ;-)

Это не программа, а скрипт. Он наследует все ошибки программы-интерпретатора.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

90. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:28 
Ога, а программа на C наследует ошибки компилятора. А программы на ассемблере наследует ошибки процессора.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

102. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 19:07 
>А программы на ассемблере наследует ошибки процессора

Ты не поверишь...

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

111. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 19:56 
Так и не отрицаем же. Просто с таким перфекционистским подходом можно дойти до влияния радиоактивных волн на технику.

Скрипт работает? Работает. В программе ошибок нет. А ошибки в реализации языка - не дело автора.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

30. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –5 +/
Сообщение от iZEN (ok) on 04-Июл-13, 13:49 
Потому что не Java.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +7 +/
Сообщение от qwerty (ok) on 04-Июл-13, 13:54 
Потому что iZEN.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от ананим on 04-Июл-13, 14:10 
Ага. :D
Хоть сцы в глаза… Да, что-то в жабе давно дырок не находили! Аж неделя без новостей!
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

120. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 21:00 
все  бэкдоре в прошлую версию джавы были в тихую добавлены
оракл + анб
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

55. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от Аноним (??) on 04-Июл-13, 15:29 
> Потому что не Java.

Действительно - была бы Java - затыкали бы по 30 критичных дыр в месяц :). А так только 1 за фиг знает сколько. Хаксоры негодуют!

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  –5 +/
Сообщение от linux must __RIP__ on 04-Июл-13, 14:41 
вот вам и первый бэкдор в любимом вами Линуксе..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 14:52 
Где ты там линукс нашёл?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от обычный аноним on 04-Июл-13, 14:54 
Дыра в apk пакетах. И это плохо.
Благо у меня нокия на кирпичОС.


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

99. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:50 
> Благо у меня нокия на кирпичОС.

Если это про WP8 - это вообще одна большая дыра, ибо ничего не может без MS и их сервисов. Решит MS кислород перекрыть - и все, амба.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +2 +/
Сообщение от NickFaces (ok) on 04-Июл-13, 14:58 
Как хочется (с таким то ником) выдать желаемое за действительное,ага?)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

62. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от ананим on 04-Июл-13, 16:14 
Свербит жеж.
Зонд видимо без вазелина был вставлен.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

60. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 16:06 
Прям в ядре? Или может в окружении *GNU*/Linux?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

106. "Уязвимость, позволяющая внести изменения..."  +/
Сообщение от arisu (ok) on 04-Июл-13, 19:23 
> Прям в ядре? Или может в окружении *GNU*/Linux?

с какого испугу ведроид стал GNU/Linux?

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

112. "Уязвимость, позволяющая внести изменения..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 19:58 
Так он и не становился. Комментарий понят маленько наоборот.
Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

100. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:52 
> вот вам и первый бэкдор в любимом вами Линуксе..

Любимый нами линукс вообще об APK ничего не знает. Ибо кернель. А это юзермод ведроида. А вот это уже совсе не линукс.

Хотя, как известно, "если факты не подтверждают теорию, от них надо избавиться!" (с) законы Мерфи.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

43. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от NickFaces (ok) on 04-Июл-13, 14:57 
>>>В качестве наиболее опасного применения уязвимости называется возможность распространения фиктивных обновлений от имени производителя устройства, которые могут предоставить злоумышленнику полный контроль над аппаратом.

Я извиняюсь, а как они в гуглоплэй(самсунго-магаз и тд и тп) от имени производителя запилят свой измененный apk? Или если это нацеленно лишь на тех, кто ставить любит "из сторонних источников"(этих еще ладно, поддержим-бывает нужно)? Или вообще на тех, кто любит установить непонятную прогу, которая скачалась после открытия какой то левой страницы,потом дать ей права на установку, запустить, поволить отослать смс и т.д. тоо..ну вы поняли. Поправьте, если не прав.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от аТфьу email on 04-Июл-13, 15:25 
> Я извиняюсь, а как они в гуглоплэй(самсунго-магаз и тд и тп) от
> имени производителя запилят свой измененный apk?

в hosts вашего d-link'a напишут
market.google.com     123.123.123.123/left_google_makret

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

61. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +1 +/
Сообщение от Аноним (??) on 04-Июл-13, 16:10 
Если вы используете недоверенную сеть без VPN или чего-нибудь в таком роде - сами виноваты. Потому, что если у меня идёт интернет через этот самый роутер - имеется куда больше возможностей отследить.

И вообще - кто это туда напишет? С внешки доступ закрыт обычно, производителю это нафиг не надо...

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

68. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от аТфьу email on 04-Июл-13, 16:51 
например http://www.s3cur1ty.de/m1adv2013-003 - и это один из примеров, а о скольки вы ещё не знаете...
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

91. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:32 
> например http://www.s3cur1ty.de/m1adv2013-003 - и это один из примеров, а о скольки вы
> ещё не знаете...

Закрыто извне может быть и вторым роутером, как часто и делают. Пример - стоит за провайдерским роутером/GPON-терминалом и раздаёт инет под Wi-Fi/торренты качает.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

69. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 16:51 
Кто угодно:
http://habrahabr.ru/post/185546/
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

76. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Crazy Alex (??) on 04-Июл-13, 17:15 
Ну пусть пишут. Там SSL используется. Вряд ли он в андроиде сломан параллельно с подписями пакетов.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

101. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от Аноним (??) on 04-Июл-13, 18:54 
> market.google.com     123.123.123.123/left_google_makret

Ты что, hosts только на картинке видел? Или такой дубовый что не понимаешь чем айпишник от урлы отличается? ПпцЪ народ ламереет! Выбросьте уже ведроид нафиг. И ифон. А то скоро на ветки обратно полезете.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

134. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от NickFaces (ok) on 05-Июл-13, 19:18 
А у меня нет длинка. И вообще только интернет от оператора с редкими всплесками 3G. Я в безопасности?)
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

138. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от iWLCkhBrBeDTGA on 05-Июл-13, 22:18 
Конечно нет.
Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

63. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от ананим on 04-Июл-13, 16:16 
>Я извиняюсь, а как они в гуглоплэй(самсунго-магаз и тд и тп) от имени производителя запилят свой измененный apk?

Кто «они»?
ЦРУ? АНБ?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

70. "Уязвимость, позволяющая внести изменения Android-пакеты  без..."  +/
Сообщение от аТфьу email on 04-Июл-13, 16:52 
> Кто «они»?

"доброжелатели" :)


Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

129. "Уязвимость, позволяющая внести изменения в Android-пакеты  б..."  +/
Сообщение от Аноним (??) on 05-Июл-13, 10:53 
Всё-таки, хотелось бы получить подробности. После этого можно было бы и поговорить - более предметно и по существу. В принципе, ждать осталось недолго. Если он вообще состоится, этот доклад, то есть, если эти люди доживут и их молчание не будет куплено.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

139. "Уязвимость, позволяющая внести изменения в Android-пакеты  б..."  +/
Сообщение от iWLCkhBrBeDTGA on 05-Июл-13, 22:20 
Скорее всего: плохой дизайн + плохая реализация = источник проблем.
Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру