Эпичное решето от гугла

MMS червь где?

Zimperium zLabs VP, Joshua Drake, found the bug and will present his research at Black Hat USA and DEF CON 23 in August

Надо ссылку, на описание способа атаки со всеми тех. подробностями, сорцами и пр., как это было с shellshoсk. Если этого нет, значит походу опять ученый изнасиловал журналиста.

DEF CON

Это не они ли говорили, что с правильно прошитой usb флешки можно получить доступ к процессору?

не делает дырявой саму платформу.

не далее как 3 дня назад, нажал я значит случайно на баннер в мобильном хроме(вроде он по умолчанию). далее было следующее:

1. открылась новая вкладка странного вида

2. пришла смс о том что с меня сняли 30р. и я подписан на какую-то фигню.

Все это произошло без каких либо запросов, т.е. получается что браузер смог подписать меня на платную рассылку опсоса. Если это не дырявая платформа, то я уже не знаю тогда что называть дырявой системой.

//вангую что скоро от ведроида будет стонов примерно столько же как от дырявого осла 6го.

Надо ссылку

Подробности придерживают до упомянутых мероприятий

Если этого нет, значит походу опять ученый изнасиловал журналиста.

не значит

Это не они ли говорили

Кто они? Это конференция.

с правильно прошитой usb флешки

хз о чем ты

Это не ведро, это все твой ОПСОС.

//вангую что скоро от ведроида будет стонов примерно столько же как от дырявого осла 6го.

Не от ведроида, а от самсунговских, LG и прочих некро-прошивок

Не от ведроида, а от самсунговских, LG и прочих некро-прошивок

У меня 5.0.2. Я бы не назвал это "некро".

Подробности придерживают до упомянутых мероприятий

А может их и нет? Или уязвимость очень не просто эксплуатировать?

не значит

Или значит?

Кто они? Это конференция.

Угу.

хз о чем ты

Погугли

Все это произошло без каких либо запросов, т.е. получается что браузер смог подписать меня на платную рассылку опсоса. Если это не дырявая платформа, то я уже не знаю тогда что называть дырявой системой.

А при чём здесь система? Механизм вроде вполне известный. Опсосы предоставляют контент-провайдерам такую возможность. Android здесь вообще ни при делах. На iOS было бы тоже самое. На любом телефоне. Даже просто на USB-модеме, вставленном в комп с любой операционной системой.

Это не ведро, это все твой ОПСОС.

То что опсос виноват это я согласен(что поделаешь, они все такие у нас), но и то что браузер не должен такого позволять это мне тоже очевидно. У браузера слишком много прав кмк.

Это не ведро, это все твой ОПСОС.

Даже захотелось попробовать произвести аналогичные действия на айфоне и винфоне и посмотреть произойдет ли то же самое. Почему-то подозреваю что нет, но доказать не могу, да.

У меня 5.0.2. Я бы не назвал это «некро».

В контексте сабжа проблемы намечаются только у юзеров с мертвыми прошивками, а те которые апдейтятся - те получат нужное обновление

то что браузер не должен такого позволять это мне тоже очевидно.

Браузер просто сходил по ссылке.

Android здесь вообще ни при делах.

Ты уверен что если я нажму на этот же баннер на айфоне, то меня тоже подпишет? Ну или на винфоне(это могу проверить, т.к. винфон в отличии от айфона в семье есть)?

Абсолютно.

http://appleinsider.ru/iphone/moshennichestvo-s-mobilnymi-podpiskami-kak-rabo...

Потому что постмодерация. И это хорошо. Потому что позволяет мне ставить любой софт, а не только тот, который мне ставить разрешили.

Могли бы сделать что-то вроде отметки "Проверено". Тогда можно было бы только их устанавливать, а мусор замести "под ковер".

Да вроде ввели уже премодерацию контента.

Отключаемая одной галочкой. Хорошо.

Сколько людей из 900млн. вообще про эту дыру когда нибудь услышат? Или, если, ты у мамы какер, и можешь отключить\починить, то проблемы и не существует? Или может на курсы залатывания ведроидных дыр людям надо начать ходить?

Да вроде ввели уже премодерацию контента.

Т.е. весь вот этот шлак, который я вижу, его пропустили модераторы? Что-то не очень вериться, ну или у них скрипт не очень хороший модерирует.

Это не с самого начала было, это только весной появилось. И какой шлак? Примеры приведи.

Это не с самого начала было, это только весной появилось. И какой шлак? Примеры приведи.

Поковырял сейчас. С мая, когда я прошлый раз ковырялся в плеймаркете, шлака(всяких №1 лучший музыка проигрыватель) стало заметно меньше.

Почитай об этих уязвимостях. Там не все так легко, оценка в 900 млн девайсов явно взята по верхней планке.

Там не все так легко, оценка в 900 млн девайсов явно взята по верхней планке.

да это понятно что преувеличение, но даже если 10млн. дырявых девайсов, то это уже эпик фейл.

Лично я хотел бы изолировать даже собственные активити, чтобы ось спрашивала, давать jar'у что-то читать в документах или нет. OS X например двигается в эту сторону, но как-то неуверенно.

См в сторону modern/store apps в винде 8.1/10, мелкомягкие как раз такую политику и реализовали. Даже доступ к файлам за пределами песочницы по умолчанию приложение может получить только вызвав системный диалог который спросит у пользователя - что открыть/куда сохранить. А полный доступ ко всей FS - только для проверенных приложений, и это нужно специально с MS договариваться, что бы они конкретному приложению дали такой доступ (и в любимом случае это будет видно в списке требуемых разрешений в описании приложения).

Так что в теории, если на винде ставить приложения только из официального магазина - они все будут каждый в своём сэндбоксе.

Другой вопрос - какими правами по умолчанию обладают всякие там браузеры, офис итп, и можно ли через remote code execution в этих компонентах, поиметь всю систему не смотря на sandbox.

Но все равно, факт остается фактом - MS, на удивление, пихает разумную идею.

Их мобильная винда в плане безопасности тоже ничего, - в системе просто нет доступных для приложений API способных хоть как то навредить пользователю :)

браузер не должен такого позволять

Не должен позволять что? Ходить по ссылкам от ОПСОСов? Также можно переход сделать невзначай хоть на чём. Они даже ссылки подменяют на некоторых варезниках так, что с ОПСОСа ссылка на платный сайт, а с нормального интернета на архив. Могут тебе банально рандомный url поменять при запросе. Кто им что скажет?
Я был безмерно рад, когда свалил с мегафона.

4.2. Ой, посмотрите на них, они ничего не знают, святая невинность. Да и ничего они, ублюдки, не возвращают. Подписался - сам виноват, отключить подписки можно на 3 месяца, если отправить смс на короткий номер.

эту дыру

Вы сначала бы выяснили как её можно реально проэксплуатировать, а потом бы уже заявляли что-то по 900М. Да и необновляемый ведроид - уже потенциальное решето. Сколько вам обновлений по безопасности приходит в месяц? А там - сетевой стек, видео, libpng, jvm.. Так что если система тупо не обновляется, то что про это вообще говорить?

Вы сначала бы выяснили как её можно реально проэксплуатировать, а потом бы уже заявляли что-то по 900М.

Для смартов с Hangouts в виде обработчика сообщений просто отправив ммс на номер. Для остальных думаю можно видяшек с котиками специальных наготовить. И ботнет(причем с круглосуточным онлайном почти всех ботов) готов.

Да и необновляемый ведроид - уже потенциальное решето.

Обновятся для закрытия этой уязвимости подозреваю что максимум 10%(и то это я оптимист) ведроидов. Я даже не уверен что моя Xperia ZR обновится, так что говорить про всякие Эксплеи, Флаи и Хайскрины. Конечно можно сказать что все кто их покупает ССЗБ, но кмк это не правильный подход.

//гугель давно мог начать запрещать использовать свои сервисы компаниям(типа отзыв лицензии), которые не поддерживают ведроид в актуальном состоянии, но им видимо это не особо и важно.

Обновятся для закрытия этой уязвимости подозреваю что максимум 10%

Неужели нельзя налепить сторонний патч? Пусть сам гугель лепит.

ммс

Ну, как я понял ммс - это только запал. Ломают через кучу других дырок, так что эта уязвимость как бы не решающая. Скорее последняя капля или макушка айсберга.

максимум 10%

Да много это.

ССЗБ

Так нет же больше ничего в адекватном ценовом сегменте.

гугель давно мог начать запрещать использовать свои сервисы компаниям(типа отзыв лицензии), которые не поддерживают ведроид в актуальном состоянии

Почему гугл не сделал адекватную систему с адекватным пакетным менеджером? Обновляли бы дырявые либы как в любом нормальном линуксе и все. Что им мешает то? А не обновляемая система общего пользования априори становится одной большой дырой через некоторое время.

Так нет же больше ничего в адекватном ценовом сегменте.

Так я и говорю что это неправильный подход всех не купивших нексус или флагман(тоже гарантию обновления не дает, пример HTC) считать ССЗБ.

Так я и говорю

Так и я согласен, но что делать то, если лопата нужна для работы там, а ничего другого нет?

Ну вот, прошла конференция, и как я и предполагал товарищи из зимпериума сильно преувеличили значимость бага. В реальности все не так, как на самом деле, можно разжать булки и успокоиться.

http://www.androidcentral.com/stagefright

За такое не уважение к интересующимся Ъ надо бить. Бить долго и жестоко!

А по хорошему, надо пилить отдельный топик, а то я единственный подписанный.