The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Увеличение числа смартфонов с неисправленными проблемами безопасности

25.01.2011 00:06

Организация Electronic Frontier Foundation (EFF) выразила беспокойство в связи с ростом числа смартфонов, программное обеспечение которых содержит неисправленные уязвимости. Например, компания Google при разработке платформы Android придерживается практики молчаливого исправления уязвимостей, которые устраняются наряду с другими ошибками без акцентирования на них внимания. Подобная практика приводит к тому, что производители телефонов на базе платформы Android не торопятся выпускать обновления для своих модифицированных прошивок и как правило продают телефоны, прошивки которых содержат неисправленные уязвимости.

В результате в экосистеме платформы Android накапливается большой пласт устройств - устаревших, фрагментированных и возможно уязвимых для известных видов атак. Подобная ситуация не несет ничего хорошего для всех: пользователей, операторов связи, OEM-производителей, разработчиков программ и компании Google. Остающиеся в системе уязвимости, делают смартфоны привлекательной мишенью для злоумышленников, интерес в получении контроля над современным телефоном для которых не меньше, чем получение контроля за стационарным ПК.

Подобная тенденция не свойственна только платформе Android - компания Apple выпускает обновление с исправлением уязвимостей с большим опозданием. Например, обновление iOS 4.2 содержало исправление удаленно эксплуатируемых уязвимостей, таких как ошибка в пакете FreeType, о существовании которых было известно на протяжении нескольких месяцев (релиз iOS 4.2 вышел в декабре, а уязвимость во FreeType была исправлена в Linux-дистрибутивах еще в августе).

Кроме того, политика некоторых компаний по блокированию полного доступа к программному обеспечению телефона приводит к тому, что пользователи, для того чтобы оставить возможность расширенного доступа к устройству, намеренно блокируют обновление прошивки, используя некоторые уязвимости для обхода введенных производителем ограничений (обеспечение возможности установки сторонних программ в iOS и получение root-доступа в Android).

Уменьшить риски можно используя классические рыночные механизмы давления на производителя. В июле организация EFF добилась внесения в закон DMCA существенных поправок, которые делают легальным разблокирование прошивки (jailbreaking) мобильных телефонов. Поправки позволяют пользователю не нарушая DMCA производить любые манипуляции с прошивкой и установкой дополнительных программ или патчей. Например, пользователи могут установить на своем телефоне независимую прошивку CyanogenMod, обновления для которой выпускаются регулярно.

Для оценки степени фрагментированности экосистемы Android, можно сослаться на исследование частоты выпуска обновлений разными производителями. Некоторые выводы:

  • Обновление до Android 2.2 было выпущено только для 50% телефонов компании HTC. Среднее время ожидания обновления составило 56 дней;
  • Motorola предоставила обновление Android 2.2 только для 15.4% телефонов. Время ожидания обновления составило 54.5 дня;
  • Samsung выпустил обновление с Android 2.2 для 11.1% выпущенных телефонов. Обновление выпущено для одного телефона из 8, при этом обновление вышло спустя 159 дней.
  • Dell и LG пока не подготовили обновление с Android 2.2 для уже выпущенных на рынок аппаратов, но собираются подготовить обновление как минимум для одной модели телефона - LG Ally и Dell Streak;
  • Компания Sony Ericsson заявила, что устройство Xperia X10 останется на старой версии Android.


  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: Исследование состояния SSL-сертификатов в сети
  3. OpenNews: Исследование степени идентификации пользователя по web-браузеру
  4. OpenNews: Оценка рисков для исследователей в области компьютерной безопасности
  5. OpenNews: Трем студентам США в судебном порядке запретили выступать на конференции DEFCON
  6. OpenNews: Дополнение для постоянного использования HTTPS в Firefox
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: android, phone, security, unlock
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (52) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, тонкий (?), 00:55, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот кстати по поводу андроида почему я тупо не могу получить root доступ без всякого бубна и установкой дополнительного софта, зачем они блокируют такую возможность если андроид вроде как открыт и бесплатен
     
     
  • 2.2, sndev (ok), 01:12, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Видимо опыт операционных систем виндовз не дает покоя, где всегда
    можно было засунуть свои шаловливые ручки куда угодно, и натворить
    делов своим незнанием. Видимо они это делают по принципу
    "защита от дурака".
     
  • 2.4, Tiv (??), 01:42, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чтоб ты купленную в Android Market программку не смог скопировать и раздать.
     
  • 2.5, gegMOPO4 (ok), 01:53, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он открыт и бесплатен для производителей. Будете выпускать свой телефон -- оцените.
     
     
  • 3.7, F (?), 04:28, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И это, кстати, пример того, как не копилефт (не "вирусная", как некоторые говорят) свободная лицензия не может защитить свободу пользователей.
     
  • 2.15, Аноним (-), 10:07, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > андроид вроде как открыт и бесплатен

    потому что он не свободен O_O, ошибка GPL v2 разрешающая тивоизацию...

     
  • 2.24, koblin (ok), 11:31, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    сматры которые "продает" гугл (nuxus-ы) не надо ломать для получения рута, там все из коробки
     
  • 2.37, User294 (ok), 20:19, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > почему я тупо не могу получить root доступ без всякого бубна

    Потому что проиводители дошли в своем копиразме и жабе до такого маразма что защищаются от пользователей сильнее чем от хакеров. Позор таким производителям, имхо.

     
  • 2.43, Knuckles (ok), 01:01, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    По-моему это то же самое, что на десктопе запускать все программы от рута. Безопасность Андроида построена на том, что каждое приложение запускается от своего отдельного пользователя и не имеет доступа к данным других приложений. Это очень хорошая практика, а открытие всем им рута автоматом рушит всю безопасность.
    Поправьте, если что-то не так.
     

  • 1.3, paulus (ok), 01:23, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня пока нет телефона с ведроидом, но смотрю из новостей с ним все не так уж и хорошо, как поют... :(
     
     
  • 2.6, Аноним (-), 03:14, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Покупай n900.
     
     
  • 3.14, Mike Lee (?), 09:36, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    грешно смеяться над сирыми и убогими.
     
     
  • 4.28, Аноним (-), 13:17, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > грешно смеяться над сирыми и убогими.

    а где там сирость и убогость?

     
  • 4.38, User294 (ok), 20:36, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > грешно смеяться над сирыми и убогими.

    Это вы про андроид то, с его дырами, покладанием на обновления, невозможностью получить рут без плясок с бубном, банальными зондами и общим кривым дизайном платформы, вынуждающим постоянно все перепахивать? :)

     
     
  • 5.52, Ян Злобин (ok), 09:53, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Это вы про андроид...

    Это про нокию, если кто не понял.

     
  • 3.57, Аноним (-), 18:22, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, N900 хороший аппарат. и рут есть и ссх и все на свете. можно даже флешки подключать :-)

     

  • 1.8, Slek (?), 04:53, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пока и без рута хвотает возможностей в Андроид.
     
     
  • 2.16, Аноним (-), 10:09, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Пока и без рута хвотает возможностей в Андроид.

    Без root например невозможно синхронизировать часы с ntp.

     
     
  • 3.42, Knuckles (ok), 00:55, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А не врешь? У меня, например, на desire z прямо такая галочка есть.
     

  • 1.9, К.О. (?), 07:07, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А тем временем всеми нелюбимая Apple, выпускала обновление iOS даже для iPhone 2G вплоть до версии 3.x.x. Что-то нужно менять в этом королевстве, иначе в проигрыше пользователи, причём несравненно большем чем в случае с iOS. В прочем если говорить о свободе, то и на Андроиде её не больше для пользователя, телефонов с default unlocked root на пальцах посчитать.
     
     
  • 2.11, filosofem (ok), 08:24, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    К.О. не читатель.
    К.О.
     
  • 2.39, User294 (ok), 20:37, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А тем временем всеми нелюбимая Apple, выпускала обновление iOS даже для iPhone
    > 2G вплоть до версии 3.x.x.

    А что, после этого дыры обнаруживаться перестали? А, я и забыл что эппл запихнул батарейку так что заменить ее по простому нельзя, чтобы девайс после ее подыхания шел в мусорку.

     
     
  • 3.49, К.О. (?), 06:41, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В старых прошивках, как правило да, не одной дыры в 3.x.x не закрытой нет, делайте выводы сами. А батарейка меняется, не так просто, как в телефонах старого образца, со снимаемой крышкой, но вполне себе меняется в любой телефонно-ремонтной конторке. Другое дело, что пользоваться комуникатором больше 2-х лет, ИМХО не возможно, слишком уж далеко уходят технологии. Сравнить хотя бы iPhone 2G и iPhone 4, разрыв колосальный, для тех кому нужно не просто звонить.
     

  • 1.10, Аноним (-), 08:09, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Те, кому необходима безопастность их средств связи, вполне могут сами об этом позаботится, остальным 50-100 дней возможности использования уязвимости не так критичны и они могут себе позволить не уделять этому должного внимания, проблема слишком раздута, теми, кто постоянно следит за безопастностью и думает, что такдолжен поступать каждый
     
     
  • 2.13, Sergey722 (?), 09:00, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Оно может и так... Хотя нет, не так. Какого хрена предприниматель должен трястись, что в его мобилу подсадят руткит за недорого, который будет отсылать информацию о его звонках и т.д. Это вобще не область его компетенции. Уже в новостях показывают, что простого обывателя могут поиметь по всякому.

    Возможно, стоит про безопасность больше на уроках информатики учить, но это не к производителям телефонов.

    И ещё с таким подходом всегда можно будет заДДосить любой сайт тоже недорого, т.к. ботнетов дохрена и больше.

    А Сони, вообще, охренели.

     
     
     
    Часть нити удалена модератором

  • 4.23, zazik (ok), 11:23, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я прям смотрю, так тут у каждого в смартфоне секретные документы
    > да коммерческие тайны сплошные, естественно проблема не раздута, она же касается
    > каждого пятнадцатилетнего подростка, которому родители купили айфон, потому что это круто.

    Совсем ум от тролления потерял? Мобильники с троянами очень удобны для организации ДДОСа, например, хотя бы потому, что их намного больше, чем ПК.

     
     
  • 5.34, Аноним (-), 17:07, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мобильники с троянами очень удобны для организации
    > ДДОСа, например, хотя бы потому, что их намного больше, чем ПК.

    Убери пожалуйста бисти с аватарки, не позорь сообщество

     
     
  • 6.36, zazik (ok), 17:46, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Мобильники с троянами очень удобны для организации
    >> ДДОСа, например, хотя бы потому, что их намного больше, чем ПК.
    > Убери пожалуйста бисти с аватарки, не позорь сообщество

    Сообщество анонимусов? Так я причём?

     
  • 6.41, User294 (ok), 20:45, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Убери пожалуйста бисти с аватарки, не позорь сообщество

    Вы себя уже достаточно опозорили. Простым непониманием того факта что мобильник - всего лишь обычный такой компьютер. С экраном, RAM, flashROM, CPU, ... - как обычно. И с сетью. А раз все компоненты на месте - значит, оно вполне может гадить в сеть. А миллионы хомяков обглодают до костей даже слона. Хоть он и большой. Сюрприз!

     
     
  • 7.45, Аноним (-), 04:38, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да, вне Москвы миллионы подключенных к 3G сетям смартфонов, или по GSM ддосить бум?
     
     
  • 8.46, Аноним (-), 04:40, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В теории вы блин все мастера, а как головой подумать каким образом это в реальны... текст свёрнут, показать
     
  • 4.25, Аноним (-), 11:53, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты про федеральный закон о персональных данных слышал Как думаешь, что в наибол... текст свёрнут, показать
     
  • 4.40, User294 (ok), 20:40, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 90% пользователей мобильных телефонов держат на нем сайты? Я балдею с вас,
    > телефоны уязвимы, о НЕЕЕТ!

    Вон пользователи винды не держат сайтов на компьютерах. Это не мешает с нимх слать спам и ддосить все что шевелится. И почему-то у них на ура воруют пароли и что там еще. А хотя-бы чтобы рассылать заразу новым кандидатам в звание лохов. А чем спам и DDoS с телефонов хуже чем с любой другой железяки, собссно?

     
     
  • 5.48, Аноним (-), 05:33, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А чем спам
    > и DDoS с телефонов хуже чем с любой другой железяки, собссно?

    Спам и флуд ничем не хуже, но вот возможность организации сильно ограничена тем, что в момент ддос атаки телефон должен быть подключен к сети и пропускной способностью этой сети, поэтому не нужно говорить, что с телефонов легче и эффективнее устроить ддос.

    А если вернуться к новости, то заботиться о том, что с уязвимых телефонов могут быть организованы атаки должны уж никак не пользователи и далеко не в первую очередь производители ПО, а владельцы этих самых серверов и каналов связи.

     
     
  • 6.51, zazik (ok), 09:48, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Спам и флуд ничем не хуже, но вот возможность организации сильно ограничена
    > тем, что в момент ддос атаки телефон должен быть подключен к
    > сети и пропускной способностью этой сети, поэтому не нужно говорить, что
    > с телефонов легче и эффективнее устроить ддос.

    Да брось ты, для отправки нескольких десятков байт большой полосы не нужно, а полностью отключают гпрс/3г/вифи доли процента, остальные либо им активно пользуются, либо не подозревают о такой возможности.

     
  • 2.17, Аноним (-), 10:13, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Те, кому необходима безопастность их средств связи, вполне могут сами об этом
    > позаботится, остальным 50-100 дней возможности использования уязвимости не так критичны
    > и они могут себе позволить не уделять этому должного внимания, проблема
    > слишком раздута, теми, кто постоянно следит за безопастностью и думает, что
    > такдолжен поступать каждый

    На самом деле входные двери можно не закрывать на замок когда уходишь. Мало кто ходит и проверяет ручки дверей на открытость а визуально это не видно. Так что вероятность что Вас обкрадут достаточно мала. На самом деле проблема слишком раздута, теми, кто постоянно следит за безопасностью и думает, что так должен поступать каждый.

     
     
  • 3.30, Аноним (-), 13:28, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    есть граждане китайцы, которые ручки всех моих серверов, в день, проверяют раз п... текст свёрнут, показать
     
     
  • 4.33, Аноним (-), 17:04, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да неужели Вы тоже свои сервера держите на смартфонах? Ах да, как я мог забыть, что 100 айфонов в ботнете могут заддосить к чертям стойку в датацентре, и естественно намного важнее заботиться о безопастности мобильных телефонов, чем о ддос уязвимостях серверов.
     
     
  • 5.35, zazik (ok), 17:38, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ддос уязвимостях серверов.

    Можно поподробнее о данном типе уязвимости? Какие сервера подвержены, какие заплатки ставить?

     
     
     
    Часть нити удалена модератором

  • 7.50, zazik (ok), 09:40, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А Вы думали уязвимость - это только возможность получения контроля? У Вас
    > любой человек, не соглачный с общественным мнением является дурачком? Может стоит
    > иногда в своем уровне знаний усомниться и полюбопытствовать каким образом организуется
    > защита от дос и какие уязвимости в программном обеспечении могут эту
    > защиту обойти?

    Уязвимость это уязвимость, а атака - это атака. И причём здесь общественное мнение? Оно помогает защититься от ДДОС? И как защита от ДОС поможет от ДДОС?

     
     
     
    Часть нити удалена модератором

  • 9.54, zazik (ok), 14:00, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да, особенно когда до твоего ресурса пытаются достучаться миллионы моб... текст свёрнут, показать
     
     
  • 10.58, Аноним (-), 20:41, 27/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    От войны в Чечне можно защитится только масовым истреблением чеченцев гениальна... текст свёрнут, показать
     
     
  • 11.61, zazik (ok), 09:14, 28/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Массовым Не гениальная, но достаточно здравая, во всяком случае на текущий моме... текст свёрнут, показать
     
  • 8.55, Michael Shigorin (ok), 14:45, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    При том, что оппонент слышал звон, да не знает, где он Вот и лепит слова вроде... текст свёрнут, показать
     
     
  • 9.56, zazik (ok), 15:02, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да это очевидно, но в периоды перерыва между задачами - почему бы и нет ... текст свёрнут, показать
     
  • 9.59, Аноним (-), 20:46, 27/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы лучше по существу что-нибудь скажите Если считаете, что с кем-либо не стоит ... текст свёрнут, показать
     
     
  • 10.60, Michael Shigorin (ok), 23:34, 27/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    По существу чего Навскидку - DoS упомянули действительно не DDoS обсуждало... текст свёрнут, показать
     
  • 3.44, Michael Shigorin (ok), 02:30, 26/01/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > На самом деле входные двери можно не закрывать на замок когда уходишь.

    Не так давно опера заходили, спрашивали, не было ли что слышно ночью.  У кого-то барсетка ушла -- видать, кто-то тоже так думал (при консьержах и 1-wire замке в подъезде).

     

  • 1.12, Аноним (-), 08:53, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Motorola тоже не парится с выпуском обновлений.
     
  • 1.18, zazik (ok), 10:16, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > неисправленные уязвимости. Например, компания Google при разработке платформы Android
    > придерживается практики молчаливого исправления уязвимостей, которые устраняются наряду
    > с другими ошибками без акцентирования на них внимания. Подобная практика приводит
    > к тому, что производители телефонов на базе платформы Android не торопятся
    > выпускать обновления для своих модифицированных прошивок и как правило продают телефоны,
    > прошивки которых содержат неисправленные уязвимости.

    и

    > Подобная тенденция не свойственна только платформе Android

    По-моему, взаимоисключающие параграфы, не?

     
  • 1.21, Аноним (-), 10:34, 25/01/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я все же никак не пойму, зачем телефону нужен цветной экран?
     
     
  • 2.22, Аноним (-), 11:13, 25/01/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На цветном экране можно отразить больше информации при одинаковом размере с не цветным.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру