LINUX.ORG.RU

Серьёзная уязвимость в Android из-за Adobe Flash

 , , , ,


0

0

Как известно, модель безопасности приложений для Android основана на том, что для каждого приложения пользователю перед установкой показывается список задекларированных им функций API, которые оно может использовать.

Однако, с помощью найденной Джоном Оберхайде уязвимости в смартфонах HTC, это ограничение преодолевается: без всякого запроса со стороны пользователя приложение может скачать и установить любые другие приложения из Android Marketplace, в том числе и с теми разрешениями, которыми оно само не обладает. Для демонстрации уязвимости Джон разместил приложение Angry Birds Bonus Levels, скачивающее приложения Fake Contact Stealer, Fake Location Tracker и Fake Toll Fraud, которые, конечно же, абсолютно безвредны, и только демонстрируют саму возможность.

Данная уязвимость затрагивает функцию INSTALL_PACKAGES встроенного веб-браузера. Эта функция была добавлена HTC в собственные смартфоны для быстрого и простого обновления плагина Adobe Flash. При наличии данной уязвимости в браузере, злоумышленник может добиться установки любого пакета, а не только Adobe Flash.

На данный момент Google уже удалил все эти приложения из Android Marketplace.

>>> Подробности

хрень какая-то. загружать любые apk приложение, имеющее разрешение работать через сеть, конечно же может, может даже иницииоровать процесс установки для скачанного apk, но все равно для пользователя выскочит диалог, в котором ему будет сообщено о том, что система собирается установить новое приложение, а в этом диалоге будет список всех запрашиваемых пермишенов для нового приложения. получить пермишены для тихой установки любых левых приложений приложению с маркета андроид не позволяет даже с разрешения пользователя.

если дыра и есть, то по ссылке техника ее воспроизведения не описана - вместо этого приведена ссылка на какой-то левый ресурс с какой-то судя-по-всему-флешовой презентацией (которая у меня не грузицца) с предложением купить от нее защиту. в общем, или нормальные пруфы, или удаляйте.

bender ★★★★★ ()

>разместил приложение Angry Birds Bonus Levels
Т.е. Android Marketplace это одна большая помойка?

fang90 ★★★★★ ()

Я сам редактировать новость с телефона не буду (боюсь испортить), а до десктопа не скоро доберусь. Просьба корректорам или модераторам добавить туда подробностей про флеш и других.

Извинюсь, что из жажды оперативности написал новость, пока ещё она была свежей и у неё был только один источник.

anonymfus ★★★★ ()

>Google уже удалил все эти приложения из Android Marketplace.
Типа если поверить что небо зеленое, то оно таким и станет... я о гугле был лучшего мнения...

А по теме, так все равно этот список никто не читает, а если и читает то не понимает, комп. грамотность оставляет желать...

anonymous ()
Ответ на: комментарий от anonymfus

done

пофиксил заголовок, ссылку, теги и суть.

shahid ★★★★★ ()
Ответ на: done от shahid

пофиксил заголовок, ссылку, теги и суть.

Заголовок всё ещё нуждается в фиксе. Он гласит «Серьёзная уязвимость в Android из-за Adobe Flash», но:

  • В Android этой уязвимости нет, она есть только в модифицированной версии Android'а от HTC.
  • Adobe Flash тут практически не при чём.
mironov_ivan ★★★★★ ()

Android != HTC

Эта функция была добавлена HTC в собственные смартфоны

Поясните, уязвимость есть на всех телефонах с Android'ом или только на HTC?

Camel ★★★★★ ()

а прозорлив был жопс, ох прозорлив...

ArtemZ ()

>HTC

Решето!

/me гордо погладил свой Мотор

yoghurt ★★★★★ ()
Ответ на: комментарий от mironov_ivan

>Adobe Flash тут практически не при чём.

Как это, уязвимость есть, а флеш не при чем? Ладно, не важно, все равно закопать

goingUp ★★★★★ ()

Еще одно подтверждение того, что Android Market - неконтроллируемая помойка.

PayableOnDeath ()
Ответ на: комментарий от yoghurt

> гордо погладил свой Мотор

это тот на котором аппаратная защита от смены прошивки?

anonymous ()

>>для быстрого и простого обновления Adobe Flash-плагина

Адоб апдейтер - это издревле источник тормозов, рассадник бэкдоров и прочей дряни.

mclaudt ()
Ответ на: комментарий от anonymous

Да её вроде-как хакнули, я, правда, особо не интересовался, да и не надо

yoghurt ★★★★★ ()
Ответ на: комментарий от PayableOnDeath

только андроид маркет тут совсем не причем, но анатилики то на ЛОРе умнее всех.

mono ★★★★★ ()

Одному мне кажется что новость боян? По моему в толксах уже было.

partyzan ★★★ ()

А на моём htc hero флеш не запускается ^_^

PolarFox ★★★★★ ()
Ответ на: комментарий от goingUp

>Как это, уязвимость есть, а флеш не при чем? Ладно, не важно, все равно закопать

и что вместо флеш прикажите использовать: java applets или быть может microsoft silverlight?

xhat ()

> из-за Adobe Flash

Чуть не сломал очки фейспалмом. По-моему эту дырявую проприетарную поделку уже давно пора закапывать, вам не кажется?

pevzi ★★★★★ ()

из-за Adobe Flash

хм, своеобразный шаблон новостей:

Серьёзная уязвимость в {...} из-за Adobe Flash

renya ★★★★★ ()

молодцы HTC, верной дорогой идут. теперь понятно, за какие патенты они отстегивают бабло майкрософтк

anon1984 ()

Интересно, если бы флеш стал платным, ошибок бы стало меньше?

Sonsee ()

Вот блин, и чо делать? Фикс какой-нибудь есть уже?

ei-grad ★★★★★ ()

Судя по тексту новости это косяк htc, а не flash. Хотя мне он очень не нравится.

AlexKiriukha ★★★★ ()

Судя по подробностям, не опасно для Android 2.2.

guitarist ★★ ()

Тут ни Android ни Flash не виноваты. Бага HTC.

Но на лоре как всегда большинство стреляют избитыми фразами без включения мозга для осмысления новости.

lexius ★★ ()

/me с радостью посмотрел на свой htc hero с цианогенмодом.

EqX ()

>из-за Adobe Flash

Ну не Флэш же в ней виноват, а HTC)

Yareg ★★★ ()

А на Nexus One, кстати, есть уязвимость?

Yareg ★★★ ()
Ответ на: комментарий от xhat

>и что вместо флеш прикажите использовать: java applets или быть может microsoft silverlight?

Та была бы нормальная альтернатива, зарыли бы его неиллюзорно, причем тупо все сразу. Вот допилят html5, вот начинит гугл свой хром разными фичами, вот тогда...

goingUp ★★★★★ ()
Ответ на: комментарий от PayableOnDeath

>Еще одно подтверждение того, что Android Market - неконтроллируемая помойка.

а что с ним не так? Приложения безвредны. Правил не нарушают. А бесполезного хлама во всех маркетах полно.

AVL2 ★★★★★ ()
Ответ на: комментарий от PayableOnDeath

>Еще одно подтверждение того, что Android Market - неконтроллируемая помойка.

Тот, кто готов отказаться от свободы ради безопасности, не заслуживает ни свободы, ни безопасности.

Zenom ★★★ ()

>На данный момент Google уже удалил все эти приложения из Android Marketplace.

флешекапец?

registrant ★★★★★ ()
Ответ на: комментарий от Zenom

Удачи вам быть убитым обезумевшим наркоманом в свободной стране. Самый лучший раб, это тот раб, который считает себя свободным. А, поскольку вы сидите на лоре а не катаетесь на рскошной яхте по океану, то вы скорее раб, нежели патриций.

anonymous ()

> На данный момент Google уже удалил все эти приложения из Android Marketplace.

Adobe Flash


Что, правда?

ChALkeR ★★★★★ ()
Ответ на: комментарий от anonymous

и который вешается. бывает, не звонит

и на котором фальшивая 5 мпиксей камера, что работает с качеством вебкамеры.

AVL2 ★★★★★ ()

Была эта новость на Опеннете. Кстати, Оберхейде Йон, а не какой не Джон.

По сабжу - удивительно количество А-рабов. :)

anonymous ()

The browser hole has been closed in Android 2.2

с урла по сабжу. нормальным людям не страшно. все уже обновились %)

tazhate ★★★★★ ()
Ответ на: комментарий от anonymous

>Google уже удалил все эти приложения из Android Marketplace

а так же со смартфонов всех пользователей

Gordon01 ★★ ()

дырявый линукс и здесь отличилься а все свалили на флеш

vcore ()
Ответ на: комментарий от registrant

причем тут флеш то ептя моптя? это бага конкретно прошивок htc на дроиде 2.1

tazhate ★★★★★ ()

Неудивленный я такой неудивленный.

Jayrome ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.