Буду первым: РЕШЕТО

> Так же он отметил возможность попадания вредоносного ПО в Android Market из-за низких критериев отбора приложений.
У Эппла зато они высокие. Поэтому Эппл фошисты, а Гугл нет. Одной только эротики-порнухи в гугломаркете сколько!

Каждое приложение при установке сообщает пользователю, какими услугами оно будет пользоваться. Если не доверяешь - говоришь Отменить.

Толксы

В них уже обсудили

Я как супер специалист по компьютерной безопасности, высказываю свое мнение что высказывания Джона Оберхайда (Jon Oberheide) - чушь собачья.
Так же отмечу, что есть возможность попадания вредоносного предмета в зад Джону Оберхайду (Jon Oberheide) из-за низкой разборчивости в своих половых партнерах.

> ...мнение по поводу возможности несанкционированной удаленной установки приложений на платформе Android...

если в теме есть специаличты, можете прояснить — в «свободном Андройде» тоже есть эта функция?

(я про http://android.git.kernel.org/ )

или же речь в теме идёт только про проприетарные тивизированные Андройды?

вообще я правильно-ли понимаю что новость из разряда наподобие чегото типа этого:

"'специалист <такой-то> высказал своё мнение что сайт http://qip.ru/ может удалённо устанавливать на компьютер любое несанкционированное ПО!

...происходит это следущим образом — вы заходите на сайт, скачиваете очередной http://download.qip.ru/2010/qip2010.rar , а там в архиве может быть совершенно другое подставное ПО!!!

если злаумышленник теоретически сможет взломать сайт http://qip.ru/ , то он получит доступ устанавливать на компьютеры пользотелей вредоносное ПО от имени РБК!

???

:-D

>или же речь в теме идёт только про проприетарные тивизированные Андройды?


он там такую пургу протирает, это толпоеп сначала софт закидывает который эксплоиты в тело кидает,а потом с этим софтом лезет в маркет, дебажит его, и начинает ездить по ушам: «ой, я ВНЕЗАПНО увидел уведомления, что такие-то приложения были удалены, и я полез рабираться оказывается гугель такой нехороший, ай-яй-яй удалил мою софтину. Да епрст, ставил себе ломаный софт, и при этом его спокойно обновлял, гугель даже и не пошевелился чтобы удлить мой перацкий софт, а тут понимаешь, ай-яй-яй...

На айфонах таких проблем нет )))

Не совсем, но тем не менее. Кстати, смешно вышло (:

> Так же он отметил возможность попадания вредоносного ПО в Android Market из-за низких критериев отбора приложений

Естественно. Для гуглов сверхзадача числом приложений в маркете догнать Джобса. Поэтому пока на модерацию положен болт.

Почитал его PDF, ясно, проплаченй высер Джона Оберхайда (Jon Oberheide) - это наезд на гугель, мол вот яббл софт в апсторе проверяет, а гугель шиш! Типа под видом нящного софта, котрый няшкой, и будет только получать доступ к сети, а на самом деле там будет руткит, который пропатчит ведроид, и сделает ботнет из вердроидов, по этому бросайте гугловские поделки, и скорей же покупайте продукцию Яббл.

Только Джон Оберхуй айд как-то вскользь обмолвился, что для запуска того приложения нужены рут права, а чтобы получить рут на теле... я к примеру шил другую прошивку. Так что руткит обычному юзеру не грозит.

>У Эппла зато они высокие. Поэтому Эппл фошисты, а Гугл нет. Одной только эротики-порнухи в гугломаркете сколько! Каждое приложение при установке сообщает пользователю, какими услугами оно будет пользоваться. Если не доверяешь - говоришь Отменить.

Эппл фошысты не только поэтому. Другого способа легально установить приложение на гФон, кроме как через маркет, нету. А у андроида такая возможность есть. Поэтому хотелось бы ещё и иметь репозиторий, приложения в котором проверены на вредоносность.

>На айфонах таких проблем нет )))

ага, на афонах другая проблема, 100% ботнет сети состоит из jailbreak'-нутых яблофонов, у не jailbreak'-нутых шанс получить руткит = 0

>Поэтому хотелось бы ещё и иметь репозиторий, приложения в котором проверены на вредоносность.

Дык, есть нормальные форумы с которых и качается весь нужный софт, кидается на флешку и ставится, или ставится с компа,чем не проверенный репозиторий?

> Дык, есть нормальные форумы с которых и качается весь нужный софт, кидается на флешку и ставится, или ставится с компа,чем не проверенный репозиторий?

Вот какой-нибудь тетрис накидает смсок на 4242 - поймешь.

>Вот какой-нибудь тетрис накидает смсок на 4242 - поймешь.

Для того чтобы накидать смсок тетрису нужны рут привелегии, чтобы приложению дать рут привелегии, его нужно установить из под рута, чтобы получить рут на телефоне, это нужно шить заново прошивку, плюс шить рековери предыдущей версии, за такое секс еще и не в каждом сервисе возьмутся, по этому блондинке руткиты на телефоне не светят.

Так что, что бы там говорили анонимные аналлитики про дырявую безопасность - это досужие домыслы людей рассуждающих об устрицах их не пробовавших.

wft

Оформи новость нормально.

По сравнению с iPhone «андроид» - ДЫРКА.

"- Это что, дырочки?

- Метко стреляли!"

(с) 1971, один из совковых фильмов

Джейлбрейк не нужен. Задротство от «Саурика» в реальной жизни не нужно.

>Дык, есть нормальные форумы с которых и качается весь нужный софт, кидается на флешку и ставится, или ставится с компа,чем не проверенный репозиторий?

Нравное тем, что это виндовз вей? Я думаю Вам не стоит объяснять плюсы реп =)

Бтв, а вообще для гуглофона реально такое реализовать? Было б оч хорошо. подключил репу и получаешь ток опенсорс, к примеру

вродеж есть приложение аля пиратский маркет, чем не вариант?

Нравное тем, что это виндовз вей? Я думаю Вам не стоит объяснять плюсы реп =)

Я для себя увидел несколько проблем в маркете: 1.) Нет кнопки-переключателя «Просмотр платных приложений/Просмотр бесплатных приложений», по этому для России доступен только каталог бесплатного софта, чтобы видеть платный, нужно изменить в файле build.prop строку (нужны root права и прошивка 2.1)

ro.build.fingerprint=Moto_RTEU/umts_sholes/umts_sholes/sholes:2.1-update1/SHOLS_U 1267742362:user/rkeys changed

На

ro.build.fingerprint=MOTO_RTGB/umts_sholes/umts sholes:2.0.1/SHOLS_U2_01.14.0/1264555607:user/rel-keys

2.) Мало категорий по которым рассортирован софт, нет тегов, ну и поиска по тегам соответственно, то есть чтобы найти к примеру rss-ридер, мне прищлось лопатить все приложения в категории «Новости и погода».

Бтв, а вообще для гуглофона реально такое реализовать? Было б оч хорошо. подключил репу и получаешь ток опенсорс, к примеру

Ну а почему бы и нет? Создать сервер с софтом *.apk, пакетный менеджер с гуем в виде приложения; ??????? PROFIT

гугл уже реализовал

называется Android Market

вброс детектед. а ведь некоторые комментарии ещё не читают. небось от эппла шпиончег -_-

> Джейлбрейк не нужен. Задротство от «Саурика» в реальной жизни не нужно.

+1

Ноющим о «фошизме» Эппл с сотнями тысяч проверенных приложений в репозитарии этого не понять. Редкому пользователю захочется кидать «exe»-шник программы напрямую в телефон (или в iTunes).

>репозитарии

ну Вы поняли к какому врачу Вам надо?

// как же достало видеть подобное

Качественный черный пиар, имхо.

ЗЫ: смартфонами не пользуюсь и не планирую

Здесь ещё интересное обсуждение репозиториевhttp://stoplinux.org.ru/plugin/comments/show/?news_id=529

>Для того чтобы накидать смсок тетрису нужны рут привелеги

лолшто ? :)

android.permission.SEND_SMS это уже «привилегии рута» ?

Я как неспециалист прошу тебя прежде чем делать заявления, о великий специалист, посмотреть прежде себе в зад. Я видел у тебя оттуда что то торчало, кажется беспилотные дроны внедрили тебе банальный зонд.

Толсто, нервных прошу воздержаться:
Недоприложения на недоязычке? Да кому они нужны?

Деточка, для виндоуса тоже есть куча «проверенных» приложений и форумов, чем не нормальный репозиторий для арабов?

Что? Не понял смыср флазы.

> а чтобы получить рут на теле... я к примеру шил другую прошивку. Так что руткит обычному юзеру не грозит.

более того, даже на рученом телефоне все программы рутами автоматом не становятся - например в терминале нужно было набрать команду su, после которой выскакивал диаложек с предложением такой-то программе разрешить вседозволенный доступ или запретить.

У меня к тебе вопрос. Я написал для андроида/айфона СМС-чат - вполне нормальный, гламурный, удобный - для его работы требуется разрешение отправлять СМС по определению. 1 сентября 2010го года он начинает рассылать платные СМС на короткий номер со всех телефонов и никого про это не спрашивает. Ты работаешь в службе проверки аппстора/гуглмаркета и твоя цель предотвратить попадание моего вредоносного кода на телефоны уязвимых пользователей - как ты будешь это делать?

>более того, даже на рученом телефоне все программы рутами автоматом не становятся - например в терминале нужно было набрать команду su, после которой выскакивал диаложек с предложением такой-то программе разрешить вседозволенный доступ или запретить.

У вас su не той системы :)

ему не нужны рут-привилегии - достаточно просто записи в манифесте, которая будет просить разрешить легальную отправку СМС для приложения. При установке менеджер пакетов это уведомление покажет и в общем то, что тетрис хочет отправлять СМС должно тебя насторожить, но глупым пользователям типа на такие предупреждения пофигу.

Если вредноносный код будет обнаружен, то в маркет, естественно, не допускать.

>Если вредноносный код будет обнаружен

я как бы клоню к тому, что этот вредоносный код ты в моем дистрибутиве вообще фиг найдешь, как бы не старался - даже при доступе к исходникам его можно будет легко замаскировать, а в бинарном файле - тем более. никакая ручная проверка (да и автоматическую на данный момент тоже пока не придумали) не защитит пользователей от зловредов, которых они сами себе скачивают и сами же им разрешают выполнять в системе что им захочется. и аппстор в этом смысле уязвим настолько же, насколько уязвим гугл-маркет, хотя называть это уязвимостью вообще можно с натяжкой большой.

И вообще по теме - если это и есть те самые уязвимости, появлением которых грозились после популяризации линукса в широких массах, то я рад. Технически система от них защищает настолько, насколько
это в принципе возможно - все таблички развешивает, предупреждения выводит - дальше уже идет уровень защиты, который машине не подвластен - защитить дурака от собственной глупости сможет только смирительная рубашка и мягкие стены.

>если злаумышленник теоретически сможет взломать сайт http://qip.ru/ , то он получит доступ устанавливать на компьютеры пользотелей вредоносное ПО от имени РБК! "'

А что смешного в том, что на телефон возможна установка неподписанного ПО? Надежда, что сайт квипа не взломают?

Зачем шить прошивку? Версия ядра известна, на моем tattoo сработал публичный эксплоит.

>Так же отмечу, что есть возможность попадания вредоносного предмета в зад Джону Оберхайду

+1000!)))))

> ну Вы поняли к какому врачу Вам надо?

Товарищ Логопед, ну скажите уж, как правильно?

>Я как неспециалист прошу тебя прежде чем делать заявления, о великий специалист, посмотреть прежде себе в зад. Я видел у тебя оттуда что то торчало, кажется беспилотные дроны внедрили тебе банальный зонд.

Ты сначало шило вытащи из своей задницы...

>Деточка, для виндоуса тоже есть куча «проверенных» приложений и форумов, чем не нормальный репозиторий для арабов?

Ну так и пользуйся им, лошок.

>ему не нужны рут-привилегии - достаточно просто записи в манифесте, которая будет просить разрешить легальную отправку СМС для приложения. При установке менеджер пакетов это уведомление покажет и в общем то, что тетрис хочет отправлять СМС должно тебя насторожить, но глупым пользователям типа на такие предупреждения пофигу.

согласен, о чем и речь.

>защитить дурака от собственной глупости сможет только смирительная рубашка и мягкие стены.

не-не-не, только в биореактор, никакого принудительного лечения!

>Зачем шить прошивку? Версия ядра известна, на моем tattoo сработал публичный эксплоит.

Ну так выкладывай же его скорее, что ждать-то?

> не-не-не, только в биореактор

Как скажешь, поциент, как скажешь...