The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Возможность принудительной удаленной установки программ в Android вызывает опасения

26.06.2010 21:46

Специалист по компьютерной безопасности Джон Оберхайд (Jon Oberheide), чьё исследование возможности легкого распространения вредоносного ПО для платформы Android, используя склонность пользователей особо не разбираясь устанавливать заманчивые программы из каталога Android Market, наделало много шуму и вынудило компанию Google прибегнуть к функции принудительного удаленного стирания программ с телефонов пользователей, опубликовал в своем блоге результаты изучения функции удаленного выполнения операций в платформе Android.

Самое интересное, по мнению Оберхайда, - это не возможность инициирования удаления, а имеющаяся в арсенале Android функция удаленной принудительной установки программ. Если в благонадежности Google можно быть уверенным, то нет никакой гарантии, что злоумышленники не смогут вклиниться в SSL-соединение или взломать GTalkService-серверы, что может привести к инициированию установки вредоносного ПО от имени Google. Следует отметить, что функция удаленной установки это лишь один из механизмов штатной установки программ, выбранных в каталоге Android Market: для установки программ из каталога используется активное соединение c GTalkService, через которое на телефон передается команда INSTALL_ASSET, после которой производится загрузка и установка выбранной в каталоге программы.



  1. Главная ссылка к новости (http://jon.oberheide.org/blog/...)
  2. OpenNews: Официально вышел Android 2.2. Анализ угроз при использовании каталога Android Market
  3. OpenNews: Продемонстрирован пример создания ботнета на базе Google Android
  4. OpenNews: Для платформы Android представлен прототип руткита
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/27108-security
Ключевые слова: security, android
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Админ Веня (?), 21:59, 26/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    "Если в благонадежности Google можно быть уверенным"
    я бы воздержался от такого высказывания
     
     
  • 2.2, ононим (?), 22:31, 26/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Веня, тут не это главное. Вся штука новости в том, что гугл может не только удалять приложения с телефонов, но и устанавливать и обновлять их без вашего на то ведома, что и может наплодить проблем в будущем.

    но пока, это все пустые разговоры.

     
     
  • 3.3, Аноним (-), 23:48, 26/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    почему пустые? что-то вон уже поудаляли ...
     
  • 3.5, Имя123321 (?), 00:54, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Вся штука новости в том, что гугл может не только удалять приложения с телефонов, но и устанавливать и обновлять их без вашего на то ведома ...

    вопрос:
    а работаетли эта функция на телефонах со свободной прошивкой Андройда? или же такое только для проприетарных тивизированных моделей андройда?

    отвечаю:
    в свободном Андройде -- маркет не работает

    ----------

    ну и в чём новость? в том что проприетарная операционная система содержит бэкдор от создателя? тыг это ж всегда так было... возьмите хоть Венду и Skype , для примера :-)

     
  • 3.17, User294 (ok), 16:09, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > но пока, это все пустые разговоры.

    Ну вон тот скриноштец несколько заполняет собой пустоту, вроде?

     

  • 1.4, Имя123321 (?), 00:50, 27/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    [quote]...нет никакой гарантии, что злоумышленники не смогут вклиниться в SSL-соединение...[/quote]

    ну да! как должно быть легко вклинитсья в SSL-соединие! :-) :-D

    ...интересно, многоли народу уже успело "вклиниться" за всю историю SSL %) :)

     
     
  • 2.6, Viliar (ok), 02:30, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте что ли историю багов в SSL and co. за последнюю пару лет.
     
  • 2.7, XoRe (ok), 02:39, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[quote]...нет никакой гарантии, что злоумышленники не смогут вклиниться в SSL-соединение...[/quote]
    >
    >ну да! как должно быть легко вклинитсья в SSL-соединие! :-) :-D
    >
    >...интересно, многоли народу уже успело "вклиниться" за всю историю SSL %) :)

    Банально подменой сертификатов.
    Пример - засунуть пользователю левое приложение (через тот самый маркет), которое поменяет сертификаты.
    Приложение удалят, но сертификаты и ещё кой-какие настройки уже будут поменяны.
    Это я ещё не говорю про сами взломы SSL.

     
     
  • 3.8, Имя123321 (?), 06:28, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Банально подменой сертификатов.

    да, вы правы...

    зачастую клиентские приложения не обращаются к директории с CA, при работе с SSL/TLS-сертификатами... а жаль

     
  • 3.12, Анонимииоиуоюс (?), 13:16, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, паяльником можно взломать все, что угодно. ;)
     
     
  • 4.30, Фкук (?), 01:30, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну да, паяльником можно взломать все, что угодно. ;)

    Давай /18 - /24 подсетки где ты колокишься и я потрачу макс 500 уе чтобы навалять тебе бекдоров.


     
     
  • 5.36, анонимиус (?), 14:10, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    192.168
     
     
  • 6.38, XoRe (ok), 00:14, 30/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >192.168

    127.0.0 =))

     

  • 1.13, danunah (?), 15:30, 27/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Google анализирует почту
    Google анализирует мои посиковые запросы
    Google хочет, чтобы я хранил свои документы у них на серверах
    Google на фейсбуке удивляет осведомлённостью о моих отношениях с людьми про которых я уже и забыл.
    Google случайно собирает базу ip беспроводных сетей с привязкой к местности
    Google по своему усмотрению стирает программы с телефонов пользователей и, возможно, может устанавливать их

    И это только то, что было сделано слишком топорно и бросилось в глаза мне - человеку вопросом не интересовавшемуся.

    Что-то как-то мне ссыкотно

     
     
  • 2.14, аноним (?), 15:52, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да он может что угодно собирать. Но кто заставит меня им пользоваться?
     
     
  • 3.16, danunah (?), 16:04, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    на фейсбуке были когда-нибудь ? нет ? ну это и не обязательно, гугл уже пошарил по  почтовым базам пользоватей при "поиске друзей"
    на gmail писали кому-нибудь ? Ваше письмо было проанализировано
    про google analitycs слышали и соотв. скрипты ?
    про safe browsing, в firefox включенный по-умолчанию, слышали ?

    им, как таковым, пользоваться то уже и не надо

     
     
  • 4.20, аноним (?), 16:18, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    фейсбуком не пользуюсь, на гмейл не пишу, safe browsing отключаю сразу же.
     
  • 4.24, аноним (?), 16:46, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    google analystics у меня занесен в hosts, как 127.0.0.1
    Скрипты? Есть свободный аддон noscript.
     
     
  • 5.25, danunah (?), 17:00, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >google analystics у меня занесен в hosts, как 127.0.0.1
    >Скрипты? Есть свободный аддон noscript.

    а есть какой-нибудь аддон, запрещающий другим пользователям (не вам) открывать сервису facebook свои почтовые базы с полученными от Вас сообщениями. Что позволяет googlе определить круг Вашего общения без Ваших заходов на facebook.

    Сколько таких googloвских и не только гугловских фишек вы не знаете ? Вы уверены, что никто не пересылает Ваши письма с вашеми ФИО + ip где-нибудь в заголовке и что зная это нельзя определить ваши предпочтения по просматриваемым вами роликам на ютубе? Ну, не на ютубе, а на варезном сайте, в который авторы встроили смешной ролик? Гугл тратит на содержание ютуба более миллиона в день чтобы порадовать вас смешными котами?

    Если информацию собирают и анализируют, значит кому-то это нужно.

     
     
  • 6.26, аноним (?), 18:58, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я с вами согласен, но я намекал на то, что от гугла ещё можно как то защититься. А вот интернет-провайдеры и операторы мобильной связи доставляют уже больше неудобств.
    А почтой да, из-за всяких гуглов и фейсбуков пользоваться становится небезопасно :(
     
  • 3.21, User294 (ok), 16:19, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Но кто заставит меня им пользоваться?

    Жизнь ;(. Ну вот например остальные поисковики - сосут. Настолько что они просто бесполезны. Да и второй по степени вменяемост поисковик - у MS. Ну да, конечно, жадный и тупой Баллмер просто источник вдохновения и его рожа лица типичного барыги, который продаст мать родную - прямо так и располагает показать ему всю свою переписку. Аж два раза. А за сколько он потом мою тушку продаст? :)

     
     
  • 4.22, аноним (?), 16:27, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Используй http://ssl.scroogle.com/, Luke!
     
  • 2.19, User294 (ok), 16:17, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Что-то как-то мне ссыкотно

    Гугл всего-то хочет захватить мир, попутно убив право на приваси и прочую "ненужную" ерунду. Ну сами посудите: FBI как-то геморно агентов нанимать, следить за всеми и прочая. Проще добровольно-принудительно слить базы у гугля где вы сами все о себе задокументировали уже :). Осталось еще прикрутить автоматический анализатор состыкованный с беспилотными дронами - и хана тогда "террористам". Ну а кто террорист понятно как определят - все кто не шагает в ногу с генеральной линией партии - тот террорист и враг народа, это мы уже видели где-то ;). Правда вот у них к счастью беспилотников и гугли не было. А вот тут и правда как-то совсем уж ссыкотненько. А если не дай боже до чтения мыслей дорвутся... у... потенциальных "террористов" беспилотные дроны будут просто выкашивать как траву.

     
     
  • 3.23, danunah (?), 16:42, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >до чтения мыслей дорвутся... у... потенциальных "террористов" беспилотные дроны будут просто
    >выкашивать как траву.

    Борьбу с дронами я почту за счастье. Но меня тревожит всё в более практическом смысле:
    Гипотетический довольно невинный сценарий:

    Например в Англии есть такая штука как CBR - проверка криминальной истории, без которой вы мало какую работу получить сможете. Например если вы хотите устроиться официантом в кафешку рядом с аэропортом. При проверке вашей истории гос. агентство делает запрос по полицейским базам - вы чисты аки снег. Автоматически система делает запрос в G Securuty Analitycs для получения вашего рейтинга благонадёжности по типу рейтинга страниц.

    И система выдаёт Вам низкий рейтинг на основании того, что двух каких-то гопников закрыли за кражу магнитол (в детстве дружили, а Вы про них уже и не помните, ваш адрес просто был в их почтовой базе) или на основании того, что Вы просмотрели 80 раз ролик Natalie Cardone - Hasta siempre http://www.youtube.com/watch?v=jppkff5mk34 (Революционные взгляды ?)

    Для Вас и для клерка все эти автоматические умозаключения останутся за кадром. Вы просто работу не получите и не получите ответа на вопрос "почему ?". И ничего не сможете с этим сделать - вы про это ничего знать не будете. Насколько этот сценарий более вероятен, чем дроны, если коллекторские агентства уже используют соц.сети ? Или вы думаете что миллиардная информационная империя действительно принадлежит беглому еврею Серёже и его другу Ларри ?

     
     
  • 4.29, ffsdmad (ok), 21:28, 27/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    этот http://www.youtube.com/watch?v=jppkff5mk3 ролик я, ИМХО, слышал задолго до появления этой мочалки
     
  • 4.31, Аноним (-), 05:18, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы просто работу не получите и не получите ответа на вопрос "почему ?"

    И зачем такая работа нужна?

     
     
  • 5.32, fr0ster (ok), 10:29, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А еще вы можете не получить визу или кредит, билет на нужный вам рейс, контракт и тд. Можете влететь на бабки, ибо принцип "время - деньги" никто не отменял. Напоследок все это может быть использовано для конкурентной борьбы, как в свое время Эшелон, только тут напряга для служб меньше.
     
  • 5.33, User294 (ok), 12:59, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >И зачем такая работа нужна?

    Ну, жрать то что-то надо. Ну, допустим, реально талантливые и так зубы на полку не положат, правда, если банки откажутся открывать вам счета, выпускать карты и прочая, потому как в базе большого брата сказано что вы - такой-сякой, неблагонадежный и террорист - то что вы будете делать уже будет тянуть на "незаконное предпринимательство". Появится повод вас упечь, например.Ну или у вас есть выбор - можете под мостом дохнуть с голода.Все демократично, хренли.

     
  • 4.34, User294 (ok), 13:22, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А не будет никакой борьбы Вы новости читали вообще Будет лишь 1 новость что ... большой текст свёрнут, показать
     

  • 1.27, Аноним (-), 19:00, 27/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    1984
     
     
  • 2.35, Cobold (??), 13:47, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не правда, дедушка Оруэл был добрее, на такое его фантазии не хватило
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру