The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Все версии Android уязвимы к атаке PileUp"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от opennews (??) on 24-Мрт-14, 22:06 
Исследователи из университета Indiana University и Microsoft опубликовали статью (http://www.informatics.indiana.edu/xw7/papers/privilegescala...) (PDF), в которой описали новый класс уязвимостей в платформе Android, который затрагивает все её версии, включая полностью открытую версию Android - Android Open Source Project. Уязвимыми на данный момент являются все аппараты, работающие под управлением Android.


Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется. Злоумышленник может подготовить приложение запрашивающее доступ к привилегированным операциям, появившимся в свежей версии платформы. При установке такого приложения на старых версиях Android данные неизвестные привилегии будут проигнорированы.
При обновлении  операционной системы до более новой версии сервис Package Management Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все присутствующие в нём разрешения, даже на те, которые не поддерживались в старых выпусках ОС. Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.


Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС, или получают только обновления, которые не увеличивают основную ревизию, например, с 4.2 до 4.2.2.

URL: http://www.informatics.indiana.edu/xw7/papers/privilegescala...
Новость: http://www.opennet.ru/opennews/art.shtml?num=39391

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Все версии Android уязвимы к атаке PileUp"  +25 +/
Сообщение от Аноним (??) on 24-Мрт-14, 22:06 
> и Microsoft

Прочитав заголовок и открывая новость, я так и подумал!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Все версии Android уязвимы к атаке PileUp"  –2 +/
Сообщение от Аноним (??) on 25-Мрт-14, 06:26 
На этом чтение можно и прервать. Дальше будет о кознях.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

85. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от my on 25-Мрт-14, 12:14 
Лучше бы искали уязвимости в своем виндозе.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

93. "Все версии Android уязвимы к атаке PileUp"  +3 +/
Сообщение от Аноним (??) on 25-Мрт-14, 13:20 
Все версии мужчин уязвимы к атаке MakeUp
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

102. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 15:28 
А некоторые версии женщин - к атаке PickUp
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

2. "Все версии Android уязвимы к атаке PileUp"  –1 +/
Сообщение от anonimov on 24-Мрт-14, 22:15 
SElinux не поможет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Все версии Android уязвимы к атаке PileUp"  +4 +/
Сообщение от ACCA (ok) on 24-Мрт-14, 23:38 
> SElinux не поможет?

Хватает Privacy Guard. Брехня от M$ - всегда брехня.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

75. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Кирилл (??) on 25-Мрт-14, 11:25 
>> SElinux не поможет?
> Хватает Privacy Guard. Брехня от M$ - всегда брехня.

Андороид один из самых прибыльных активов MS.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

106. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от vitalif email(ok) on 25-Мрт-14, 15:51 
Хренынукс... он-то тут причём...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Все версии Android уязвимы к атаке PileUp"  –8 +/
Сообщение от Аноним (??) on 24-Мрт-14, 22:24 
То что Android дырка это и без подобной новости очевидно то есть и без участия MS, но эта новость просто дополняет и без того увлекательный список особенностей  системы Android.  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от rshadow (ok) on 24-Мрт-14, 23:35 
Больше всего радует что это не хитрый программный баг, а просто детская логическая ошибка. Каждый видит проблемы на своем уровне понимания, забавно...
Походу они нашли это в своем магазине и просто решили подгадить гуглу и попиарится.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "Все версии Android уязвимы к атаке PileUp"  +4 +/
Сообщение от Аноним (??) on 25-Мрт-14, 00:16 
Это вообще не ошибка, а логичное поведение, если учесть, что в андроиде управления правами приложений нет. (ты его просто устанавливаешь "как есть" либо не устанавливаешь)
to Аноним
Он не более дыряв обычного линукса в котором вся безопасность основана на доверии к софту в репах. Ведроид же предназначен для работы со сторонним часто вредным и глючным софтом.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

42. "Все версии Android уязвимы к атаке PileUp"  +3 +/
Сообщение от Crazy Alex (ok) on 25-Мрт-14, 02:36 
Ну вот собственно это и есть основная дыра. Никак люди не поймут, что песочницы - это хорошая вещь _вдобавок_ к доверию к софту, но не замена ему.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

95. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от rshadow (ok) on 25-Мрт-14, 13:33 
Вообщем то подход должен быть системным. Защищаться можно только когда на ВСЕХ уровнях есть защита, начиная с процесса создания ПО и заканчивая его запуском у пользователя.

Всегда ваш КО.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

99. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Crazy Alex (ok) on 25-Мрт-14, 15:17 
В общем-то да, но с оговорками - акценты на разных уровнях всё же получаются разные. Если у нас достаточно надёжная система репозиториев - то для повседневных целей песочницы не особенно важны, к примеру. Каждый уровень - это дополнительно потраченные ресурсы и дополнительные неудобства для пользователя.

Одно дело - когда приходится защищаться от ошибок в ПО (возможно, кем-то эксплуатируемых). Другое - когда защищаться надо от вполне вероятных и распространённых целенаправленных атак от создателя ПО.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

76. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Кирилл (??) on 25-Мрт-14, 11:27 

> Он не более дыряв обычного линукса в котором вся безопасность основана на
> доверии к софту в репах.

Прям таки основа основ )))) Чушь не пишите.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

91. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от Аноним (??) on 25-Мрт-14, 12:59 
>> Он не более дыряв обычного линукса в котором вся безопасность основана на
>> доверии к софту в репах.

Прошу не путать, Android использует ядро Linux, и да, в нем конечно бывают ошибки. Но Android не имеет хорошо спланированной системы управления доступом. Исходя из этого вся безопасность построена исключительно на доверии разработчику и репозиторию. В то время как в Linux есть ряд программных средств позволяющих разграничивать доступ к различным уровням системы. Важный момент в том что отсутствие границ доступа приводит к тому что уровень распространения заразы на Android устройствах имеет такой высокий рост.

В Linux возможно разграничивать доступ, причем на различных уровнях. Отсутствие средств управления доступом и нежелание или неумение его использовать это разные понятия.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

126. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Anonym2 on 25-Мрт-14, 20:35 
>[оверквотинг удален]
>>> доверии к софту в репах.
> Прошу не путать, Android использует ядро Linux, и да, в нем конечно
> бывают ошибки. Но Android не имеет хорошо спланированной системы управления доступом.
> Исходя из этого вся безопасность построена исключительно на доверии разработчику и
> репозиторию. В то время как в Linux есть ряд программных средств
> позволяющих разграничивать доступ к различным уровням системы. Важный момент в том
> что отсутствие границ доступа приводит к тому что уровень распространения заразы
> на Android устройствах имеет такой высокий рост.
> В Linux возможно разграничивать доступ, причем на различных уровнях. Отсутствие средств
> управления доступом и нежелание или неумение его использовать это разные понятия.

Почему же Android не имеет "хорошо спланированной системы управления доступом". Имеет... Особенно учитывая что разрешения выдаются каждому приложению отдельно... Да ещё и приложения на java...
Другое дело, что юзер может только подтвердить или отказаться от запроса приложением прав.


Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

133. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Кирилл (??) on 27-Мрт-14, 14:54 
А Линукс то тут причём? Андроид это всё же только Ява-машина.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

84. "Все версии Android уязвимы к атаке PileUp"  –2 +/
Сообщение от Андрей (??) on 25-Мрт-14, 12:12 
Кстати да. На днях нужно было поставить на Acer (Андроидный) некое приложение.
1. Без SD карты - никак (если оно не маркета).
2. По-умолчанию не было файлового менеджера (!)
Так вот, в том же маркете не с первого раза удалось найти файловый менеджер, которому не требовался бы "Неограниченный доступ в интернет". Напуркуа файловому менеджеру "Неограниченный доступ в интернет" ?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

86. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Андрей (??) on 25-Мрт-14, 12:14 
** (не ИЗ маркета) **
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

88. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 12:31 
Вообще-то галочка "установка из недоверенных источников" позволяет установить любой загруженный куда угодно apk.
Уверенно утверждаю это как разработчик с Acer A510, неоднократно устанавливавший на него всякое разное, в том числе свое со своего сайта, не имея в планшете SD-карты в принципе.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

113. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Андрей (??) on 25-Мрт-14, 17:15 
> Вообще-то галочка "установка из недоверенных источников" позволяет установить любой загруженный
> куда угодно apk.
> Уверенно утверждаю это как разработчик с Acer A510, неоднократно устанавливавший на него
> всякое разное, в том числе свое со своего сайта, не имея
> в планшете SD-карты в принципе.

я несколько о другом... :)

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

100. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Crazy Alex (ok) on 25-Мрт-14, 15:19 
Пользуйтесь правильными репозиториями - https://f-droid.org/ - открытый и свободный софт под андроид
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

112. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Андрей (??) on 25-Мрт-14, 17:15 
Этого пакета там нет
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

116. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от AlexYeCu_not_logged on 25-Мрт-14, 17:28 
F-Droid сложно назвать "правильным репозиторием" -- версии софта зачастую более старые, чем в маркете (например, vlc), нередки проблемы с обновлением установленного софт (AdBlock+). Так что репозиторий из разряда "на безрыбье скорее".
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

132. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 27-Мрт-14, 11:44 
Этой левой парашей могут пользоваться только совсем отмороженные пердолики.
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

130. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от NikolayV81 (ok) on 26-Мрт-14, 09:51 
В общем банально, что-бы рекламу показывать, а в платных версиях могут просто забыть отключить разрешение.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

118. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от unscrubber on 25-Мрт-14, 17:38 
> ...в андроиде
> управления правами приложений нет. (ты его просто устанавливаешь "как есть" либо
> не устанавливаешь)

в 4.3 есть - т.н. режим инкогнито
но гуглы (вероятно) почемуто испугались за растущий на дрожжах маркет и обозвали это случайной и не нужной фичей и выкосили в 4.4


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

67. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от freehck email(ok) on 25-Мрт-14, 09:27 
Господа, а за что этого Анонима заминусовали? Неужели есть люди, верящие в безопасность платформы Android, при такой весёлой политике распространения приложений через Google Play?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

79. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Aceler email(ok) on 25-Мрт-14, 11:53 
Android не обязательно обязан содержать Google Play.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

90. "Все версии Android уязвимы к атаке PileUp"  –1 +/
Сообщение от Аноним (??) on 25-Мрт-14, 12:39 
И сколько вас таких, выпиливающих Google Play, по отношению к общему числу пользователей андроида? 0,1%?
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

97. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Aceler email(ok) on 25-Мрт-14, 14:29 
> И сколько вас таких, выпиливающих Google Play, по отношению к общему числу
> пользователей андроида? 0,1%?

И сколько вас таких, не отличающих платформу от прикладного софта? 95%?

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

101. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Crazy Alex (ok) on 25-Мрт-14, 15:22 
Не без того, но когда речь идёт не о Googl Play,  а о тот же самом f-droid - 90% этих "дыр" становятся неважными, так как относятся к использованию недоверенного софта
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

5. "Все версии Android уязвимы к атаке PileUp"  +7 +/
Сообщение от Black Paladin on 24-Мрт-14, 22:41 
А мне больше всего понравилось про DoS самого Google Play. То есть они там все "не думали, что так может быть". Что при создании представителя класса конструктор этого класса вообще не обязан ничего проверять. Какое переполнение буфера? Не, не слышали. Мне кажется, это удел первокурсников.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от кевин on 24-Мрт-14, 22:57 
спв там у них была проблема в методе запуска эмуляторов на которых тестируются приложения.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

33. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от strah4 on 25-Мрт-14, 01:02 
Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом этапе, чем он дальше полезет. Гугл знающий все обо всех вполне может реализовать пожизненный бан.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

127. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Anonym2 on 25-Мрт-14, 20:50 
> Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом
> этапе, чем он дальше полезет. Гугл знающий все обо всех вполне
> может реализовать пожизненный бан.

:-)) И не один. Вопрос только как бы эти пожизненные баны отметить какими-нибудь знаками отличия (которые могли бы рассылаться Гуглом), так чтоб красиво было. Вот идёт, скажем, интернетчик по улице, и по знакам отличия сразу видно - шестикратно пожизненно забанен Гуглом в Интернете >:-)

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

131. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от NikolayV81 (ok) on 26-Мрт-14, 09:53 
>> Может они просто заранее смотрят желающих и пожизненно блочат. Лучше на этом
>> этапе, чем он дальше полезет. Гугл знающий все обо всех вполне
>> может реализовать пожизненный бан.
> :-)) И не один. Вопрос только как бы эти пожизненные баны отметить
> какими-нибудь знаками отличия (которые могли бы рассылаться Гуглом), так чтоб красиво
> было. Вот идёт, скажем, интернетчик по улице, и по знакам отличия
> сразу видно - шестикратно пожизненно забанен Гуглом в Интернете >:-)

Автоматически при попадании в объектив камеры.

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

6. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 24-Мрт-14, 22:45 
А рутилка без перепрошивки будет на основе этой уязвимости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от кевин on 24-Мрт-14, 22:55 
очевидно нет.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от an (??) on 24-Мрт-14, 22:54 
я наверное не те устройства использую(в основном китайские)....
но накатить обновление версии без переустановки приложений както вообще никогда не получалось :).
Те ИМХО найдена сааамая маленькая дырка в андройде.
От майкрософта и правда можно было ожидать чегото покрупнее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 25-Мрт-14, 00:18 
> я наверное не те устройства использую(в основном китайские)....

Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек и софта.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

55. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 25-Мрт-14, 06:38 
>> я наверное не те устройства использую(в основном китайские)....
> Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же
> девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек
> и софта.

Фирменные - это какие? Lenovo - фирма? Lenovo не обновляется.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

61. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от а on 25-Мрт-14, 07:25 
>>> я наверное не те устройства использую(в основном китайские)....
>> Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же
>> девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек
>> и софта.
> Фирменные - это какие? Lenovo - фирма? Lenovo не обновляется.

Nexus 7 точно обновляется

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

72. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Ivan (??) on 25-Мрт-14, 10:34 
Китайская шарага, которая гонит ширпотреб и покупает бренды для того, чтобы их испортить. Можете называть их фирмой, но лучше пахнуть они от этого не станут, и писать нормальный софт не научатся.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

98. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от an (??) on 25-Мрт-14, 15:14 
> Китайская шарага, которая гонит ширпотреб и покупает бренды для того, чтобы их
> испортить. Можете называть их фирмой, но лучше пахнуть они от этого
> не станут, и писать нормальный софт не научатся.

Китайская (шарага) - это не всегда ругательство.

Телефон Haipai-9220 (китайчатина на MTK с надписью SAMSUNG)
я перегружал изза глюков куда реже чем Samsung Galaxy Grand

В итоге кто из них "фирма" а кто "низкокачественная китайская копия" - большой вопрос

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

107. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от vitalif email(ok) on 25-Мрт-14, 15:52 
>> я наверное не те устройства использую(в основном китайские)....
> Ну почему же, те. просто китайцы не выпускают обновления, видимо. Фирменные же
> девайсы обновляются по вайфай с одной перезагрузкой и сохранением всех настроек
> и софта.

...и рут отваливается, и selinux'ы прилетают

Нафиг такое счастье, лучше уж забэкапиться и цианоген накатить

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

56. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Аноним (??) on 25-Мрт-14, 06:39 
> я наверное не те устройства использую(в основном китайские)....
> но накатить обновление версии без переустановки приложений както вообще никогда не получалось
> :).
> Те ИМХО найдена сааамая маленькая дырка в андройде.
> От майкрософта и правда можно было ожидать чегото покрупнее.

Единственное здравое замечание.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

124. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от XoRe (ok) on 25-Мрт-14, 18:57 
> я наверное не те устройства использую(в основном китайские)....
> но накатить обновление версии без переустановки приложений както вообще никогда не получалось

У некоторых моделей телефонов и планшетов есть возможность скачать прошивку через инет и обновиться с одной перезагрузкой и сохранением настроек.
Примерно, как у ubuntu, когда обновление без косяков.
Для этого сам вендор должен официально зарелизить прошивку.
Такое обновление называется OTA (over the air).
Насчет цианогена хз, может и в цианогене есть такое.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Baz on 24-Мрт-14, 23:04 
вот потому все нормальные люди после обновления системы делают сброс настроек.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от asavah (ok) on 25-Мрт-14, 01:41 
вот-вот, тем более что нормальные люди _с_руками_ вообще ставят кастом, ибо сток очень часто бывает убог.
а при установке кастома - wipe или wipe ))
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от Aceler email(ok) on 24-Мрт-14, 23:11 
> Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.

Ложь. Системные полномочия регистрируются отдельно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Все версии Android уязвимы к атаке PileUp"  –2 +/
Сообщение от Аноним (??) on 24-Мрт-14, 23:14 
Ой какой же бред. Любое приложение может натворить кучу всего нехорошего на вашем девайсе, стоит лишь его установить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Все версии Android уязвимы к атаке PileUp"  +3 +/
Сообщение от Logo (ok) on 24-Мрт-14, 23:18 
Мокрыйсофт лучше бы занялась безопасностью своих форточек.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору
Часть нити удалена модератором

20. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Logo (ok) on 24-Мрт-14, 23:42 
Мне их заботливость не нужна. В реалии не так все выглядит, как написано в статье. И да, я не фанат Linux, я просто с ним и в нем работаю.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

21. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от SubGun (ok) on 24-Мрт-14, 23:43 
Тоже придерживаюсь такой точки зрения. Кто бы не нашел проблему, это повод ее исправить.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

22. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Logo (ok) on 24-Мрт-14, 23:45 
> Тоже придерживаюсь такой точки зрения. Кто бы не нашел проблему, это повод
> ее исправить.

Таки да, ты прав.


Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Все версии Android уязвимы к атаке PileUp"  –2 +/
Сообщение от kurokaze (ok) on 24-Мрт-14, 23:52 
>Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется.

Бездоказательное утверждение

>Исследователи из Индианского университета и компании Microsoft

Ох лол, я понимаю почему они не ищут дыры в вантузе 8 (RT) -- БОЯТСЯ!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Все версии Android уязвимы к атаке PileUp"  –2 +/
Сообщение от EuPhobos (ok) on 25-Мрт-14, 00:17 
Я один заметил взаимоисключающие параграфы?
> При обновлении операционной системы до более новой версии ... автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все ... исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ.

То есть как мы поняли, проблема при обновлении ОС.. ок.

> Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС ...

Эммм, (мелкософт != логика) ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от pavlinux (ok) on 25-Мрт-14, 00:55 
> что привело к нарушению работы сервиса

Ай красафчик :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Michael Shigorin email(ok) on 25-Мрт-14, 01:06 
Жалко пытающимся потроллить в тредике студентам-партнёрам некрософта (причём явно не индианским): даже не пытайтесь, бездари.

PS: менять ники тоже без толку -- что лох-матка, что клоун-с**к*нчик, что даже Аноним -- без разницы.  Бьют по морде, а не по поясу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от ананим on 25-Мрт-14, 06:07 
Походу мс собирается решить первую проблему России (забрав их к себе).
Кого бы ещё заставить дороги чинить...
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

89. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 12:33 
Так оно же не забирает, оно их тут разводит. То есть не решает, а усугубляет проблему.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

46. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от imprtat (ok) on 25-Мрт-14, 03:11 
>> Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение

Нет уже, спасибо.

Новые пермишенны могут появится только в новых API level, за все время существования Android их 19.

1) Сколько придется ждать обновления?
2) Какой процент железок получает поддержку выхода обновлений от разработчика в течении 2ух и более API level?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Все версии Android уязвимы к атаке PileUp"  –1 +/
Сообщение от ананим on 25-Мрт-14, 06:00 
Перевожу — мс надеется, что андроид сам от старости сдохнет.
Главное не упустить момент.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

53. "Все версии Android уязвимы к атаке PileUp"  –1 +/
Сообщение от Аноним (??) on 25-Мрт-14, 06:34 
> Перевожу — мс надеется, что андроид сам от старости сдохнет.

От старости? Что ты имеешь в виду?


Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

57. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от ананим on 25-Мрт-14, 06:44 
не по-русски написано что ли?

зыж
тем более что им и надеется больше не на что.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

51. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Аноним (??) on 25-Мрт-14, 06:29 
> Установка подготовленного злоумышленниками пакета

Из статьи понял только, что их фамилии:

> Исследователи из Индианского университета и компании Microsoft ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от ананим on 25-Мрт-14, 06:46 
Понял правильно.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

65. "Все версии Android уязвимы к атаке PileUp"  –1 +/
Сообщение от Аноним (??) on 25-Мрт-14, 08:21 
Что-то я не понял. Чем отличается с точки зрения хомячка обновление системы без сброса настроек и обычная установка приложения с предоставлением всех ему прав в уже обновленной системе? В любом случае, оно окажется в телефоне и права у него останутся те же самые. Что я упускаю?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Андрей (??) on 25-Мрт-14, 12:28 
> Что-то я не понял. Чем отличается с точки зрения хомячка обновление системы
> без сброса настроек и обычная установка приложения с предоставлением всех ему
> прав в уже обновленной системе? В любом случае, оно окажется в
> телефоне и права у него останутся те же самые. Что я
> упускаю?

Этот "косяк" с расширением "прав" приложения на обновляемой системе чем-то напоминает "двойной" API самой венды. Т.е., то что написано по внутренним спекам работает быстрее и менее глючно, чем написано по опубликованным спекам. Или песочница RT...

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

66. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от VoDA (ok) on 25-Мрт-14, 09:13 
Из пальца высосали уязвимость.

Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 25-Мрт-14, 10:03 
> Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.

Суть уязвимости в том, что если запрошенные привилегии не поддерживаются текущей версией Android, то вы их не увидите и согласитесь не глядя. После обновления Android  эти не замеченные привилегии будут включены, хотя вы явно с ними не соглашались.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

80. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Aceler email(ok) on 25-Мрт-14, 11:56 
>> Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.
> Суть уязвимости в том, что если запрошенные привилегии не поддерживаются текущей версией
> Android, то вы их не увидите и согласитесь не глядя. После
> обновления Android  эти не замеченные привилегии будут включены, хотя вы
> явно с ними не соглашались.

И как эксплуатировать эту уязвимость?

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

94. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 25-Мрт-14, 13:27 
> И как эксплуатировать эту уязвимость?

Обратиться к Микрософту из Индейского института?

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

125. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Anonym2 on 25-Мрт-14, 20:10 
>> Если я поставил приложение, то я согласился с его запросами/привелегиями. И баста.
> Суть уязвимости в том, что если запрошенные привилегии не поддерживаются текущей версией
> Android, то вы их не увидите и согласитесь не глядя. После
> обновления Android  эти не замеченные привилегии будут включены, хотя вы
> явно с ними не соглашались.

Вообще-то кажется если запрашивается неизвестное разрешение, то следует предупреждение о нём.
А вообще после обновления много интересного может появиться ... :-)

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

73. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от meequz (ok) on 25-Мрт-14, 11:11 
То есть когда вася нашёл уязвимость, опубликовал инфу и её исправили это ок. А когда микрософт сделал то же самое то не ок. Что-то я не понимаю такой логики. Сила опенсорса же в том, что _все_ могут проверять код, даже микрософт. Скажем ему спасибо. Пусть и дальше контрибьютит в ядро и ищет дырки. Нам же лучше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

104. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 15:35 
Микрософт нашел лазейку, которую практически нереально использовать, и трубит об этом в духе "Все версии Андроид уязвимы". Действительно, сделал то же самое.
Собственно, M$ так же "контрибьютит в ядро и ищет дырки" - исключительно в пиар-пространстве, никак не пересекающемся с реальной вселенной за пределами интересов M$.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

105. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от meequz (ok) on 25-Мрт-14, 15:45 
Если он и трубит об этом, то в новости про это ничего не сказано. Жду ваш пруф на трубление.
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

109. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 16:56 
Молодо, зелено...
В новости ссылка на статью, в статье - на специально посвященный этой "проблеме" сайт.
Чрезвычайно непохоже на скромный коммит на багтрекере.
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

111. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от meequz (ok) on 25-Мрт-14, 17:13 
Ну да, целый сайт не ок, согласен. Хотя там жалких семь лайков с фейсбука, это далеко от трубления. И кстати в статье немаловажный нюанс - не микрософт, а микрософт ресёрч. Это совершенно отдельное подразделение, очень клёвые ребята, которые до сих были славны лишь добрыми делами.
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

119. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 17:45 
Добрейшие дела, конечно - например, тот самый патентный портфель, которым так успешно доят тот самый Андроид.
А в статье самый важный нюанс - что это именно статья, предназначена для широкой публикации. А не для уведомления кого бы то ни было о проблеме, для чего достаточно было сообщения на профильных ресурсах.
Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору
Часть нити удалена модератором

129. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от тоже Аноним email(ok) on 26-Мрт-14, 00:04 
Как будто любой, сколь угодно черный, пиар способен ухудшить репутацию IE! О его родовых травмах только что не на каждом заборе написано.
Ответить | Правка | Наверх | Cообщить модератору

77. "Все версии Android уязвимы к атаке PileUp"  –1 +/
Сообщение от Кирилл (??) on 25-Мрт-14, 11:30 
Э, по-моему, брехня. Никаких существенных прав пакет не имеет, к тому же, чаще всего прежний пакет предварительно удаляется, а новый ставится вместо него, поэтому разрешения нужно выставлять снова.
Но это не беда -- абсолютное большинство пользователей тыкают Ок на любое предложение на экране.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Все версии Android уязвимы к атаке PileUp"  –1 +/
Сообщение от клоун Стаканчик on 25-Мрт-14, 11:36 
Некоторое время назад в компанию Apple посыпались жалобы на то, что приложения на iPad/iPhone, которым никто не давал прав на доступ к счёту, активно списывают с него деньги. Причина оказалась в том, что приложения, прежде бывшие бесплатными, стали предлагать приобрести игровые бонусы за реальные деньги, а iOS позволяла делать это, не запрашивая пароль. Знакомо?
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

81. "Все версии Android уязвимы к атаке PileUp"  +2 +/
Сообщение от Кирилл (??) on 25-Мрт-14, 11:57 
Тролль?

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

120. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 17:55 
>> клоун Стаканчик
> Тролль?

Или?

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

82. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Кирилл (??) on 25-Мрт-14, 11:59 
> Некоторое время назад в компанию Apple посыпались жалобы на то, что приложения
> на iPad/iPhone, которым никто не давал прав на доступ к счёту,
> активно списывают с него деньги. Причина оказалась в том, что приложения,
> прежде бывшие бесплатными, стали предлагать приобрести игровые бонусы за реальные деньги,
> а iOS позволяла делать это, не запрашивая пароль. Знакомо?

Откуда деньги списывать? Вот прям в телефоне деньги лежат и их оттуда можно... "списать" ))))

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

103. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 25-Мрт-14, 15:35 
> Откуда деньги списывать?

Со счёта в банке который привязан к карте, которая привязана к аккаунту, который может без дополнительного геморроя списывать деньги со счёта.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

134. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Кирилл (??) on 27-Мрт-14, 14:57 
>> Откуда деньги списывать?
> Со счёта в банке который привязан к карте, которая привязана к аккаунту,
> который может без дополнительного геморроя списывать деньги со счёта.

Это как вообще? Т.е. я сам в здравом уме разрешаю некоему приложению пользоваться своей картой? И причём тут чья-то система безопасности, коль я сам каким-то образом вбил данные своей карты в приложение, тем самым согласившись со схемой оказания услуги?

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

136. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от Аноним (??) on 27-Мрт-14, 15:46 
>>> Откуда деньги списывать?
>> Со счёта в банке который привязан к карте, которая привязана к аккаунту,
>> который может без дополнительного геморроя списывать деньги со счёта.
> Это как вообще? Т.е. я сам в здравом уме разрешаю некоему приложению
> пользоваться своей картой? И причём тут чья-то система безопасности, коль я
> сам каким-то образом вбил данные своей карты в приложение, тем самым
> согласившись со схемой оказания услуги?

Всё хуже, чем в сказке...
Есть сбербанк, допустим через него вы получаете з./п. ( пока выбор за работодателем ), что бы иметь возможность пользоваться картой в сети, вы подключаете мобильный банк, который привязывается к номеру ( без него нереально пользоваться из-за 3D-s ), и теперь завладевший вашим телефоном софт получает доступ как минимум к возможности пополнять счёт этого телефона ( не отключается в сбербанке ), а так же к переводу денег на другой тел. номер ( почти никто не отключает, т.к. отключается вместе с возможностью оплатить парковку к примеру, и другими смс сервисами ).

p.s. Мало того ещё сбербанк регулярно вам напоминает как положить денег на этот телефон и на другой смсками, так что даже потерять телефон может быть черевато (хотя и не сильно в больших объемах).

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

92. "Все версии Android уязвимы к атаке PileUp"  +1 +/
Сообщение от Аноним (??) on 25-Мрт-14, 13:02 
Давно заметил эту фишку, например, когда для firefox и google-chorom'а потребовался доступ к камере, я их не стал обновлять и запретил их автоматическое обновление. А потом обновилась версия самого Android и с ней обновился chrome.
Разрешения на камеру никто не спросил :-(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от iZEN (ok) on 25-Мрт-14, 13:49 
Epic Fail.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

108. "Платформа Android уязвима к атаке PileUp"  +/
Сообщение от Аноним (??) on 25-Мрт-14, 16:52 
> что привело к нарушению работы сервиса в процессе проверки корректности пакета

Всё, вот и великий google скатился до шайки быдлщкодеров.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

110. "Платформа Android уязвима к атаке PileUp"  –1 +/
Сообщение от тоже Аноним email(ok) on 25-Мрт-14, 17:00 
Так это же любимая Жаба - глюк, написанный один раз, работает везде - и на устройсвах, и на серверах. Особенно интересно, что это глюк переполнения буфера, который традиционно фигурирует в рассказах жабистов о проблемах Сей.
Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

135. "Платформа Android уязвима к атаке PileUp"  +/
Сообщение от Кирилл (??) on 27-Мрт-14, 14:58 
> Так это же любимая Жаба - глюк, написанный один раз, работает везде
> - и на устройсвах, и на серверах. Особенно интересно, что это
> глюк переполнения буфера, который традиционно фигурирует в рассказах жабистов о проблемах
> Сей.

Очередной знаток.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

115. "Все версии Android уязвимы к атаке PileUp"  +/
Сообщение от КВ1С on 25-Мрт-14, 17:23 
Микрософт опять чешет метлой. Все давно знают, что драная только винда :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

137. "Платформа Android уязвима к атаке PileUp"  +/
Сообщение от Аноним (??) on 27-Мрт-14, 19:57 
"Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов ___ вообще никогда не получают обновление ОС ___"

пугает. Что, это действительно в Android-мире так?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру