The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в Android, позволяющая получить контроль через отправку MMS

28.07.2015 09:22

Специализирующаяся на компьютерной безопасности компания Zimperium zLabs объявила о выявлении критической уязвимости в коде обработки мультимедийных данных платформы Android, позволяющей организовать выполнение кода через отправку сообщений MMS или Google Hangout. По предварительной оценке проблеме подвержено около 95% имеющихся в обиходе Android-устройств, т.е. потенциальными жертвами уязвимости являются 950 млн пользователей. Касающиеся уязвимости детали планируется объявить на конференциях Black Hat USA и DEF CON 23, которые пройдут 5 и 7 августа.

Проблема может быть эксплуатирована в момент начальной обработки сообщения без необходимости выполнения пользователем каких-либо действий. Для получения контроля над устройством достаточно знать номер мобильного телефона жертвы. В некоторых случаях атакующий может удалить эксплуатирующее уязвимость сообщение, при этом останется лишь уведомление о его получении. Причиной уязвимости является выход за границы буфера в библиотеке обработки мультимедийных данных, который можно инициировать при обработке ряда популярных форматов. Кроме передачи сообщений атака также может быть совершена и через другие приложения, в том числе при открытии специально оформленных страниц в web-браузере.

Проблеме присвоено кодовое имя Stagefright и она оценивается как самая опасная уязвимость в Android за всю историю существования платформы. Уязвимость проявляется во всех версиях Android, начиная с выпуска 2.2. На устройствах с Android 4.1 "Jelly Bean" и более новыми выпусками выполнение кода злоумышленника будет ограничено sandbox-окружением приложения и связанным с ним полномочиями (чтение и отправка сообщений, доступ к адресной книге). В старых версиях Android, которые составляют 11% от общего числа используемых устройств, атакующий может получить полный доступ к системе. Для выхода из sandbox-окружения и повышения своих привилегий требуется задействование дополнительных уязвимостей, например, уже используемых в локальных эксплоитах PingPongRoot, Towelroot и put_user.

Несмотря на то, что компания Google намерена в течение считанных часов представить патчи с исправлением уязвимости, проблема усугубляется тем, что для защиты требуется обновление прошивки. Подобные обновления выпускаются производителями с большим запозданием и только для актуальных моделей устройств. Пользователи смартфонов, выпущенных более 18 месяцев назад, скорее всего останутся без исправления. Для того, чтобы избежать одного из проявлений уязвимости рекомендуется использовать браузер Firefox, в котором данная уязвимость уже устранена начиная с выпуска Firefox 38 (вероятно, имеется в виду уязвимость CVE-2015-2717, которая могла приводить к краху при разборе некорректных мета-данных в файлах MP4). Проблема также устранена в альтернативной сборке PrivatOS 1.1.7 и в ночных сборках CyanogenMod 12.0 и 12.1 (для CM 11 исправление ожидается в конце недели).

  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/42677-android
Ключевые слова: android, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (185) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:54, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Жесть. :( У меня смарт от пчелайн. У них вообще нет понятия обновления системы...
     
     
  • 2.117, абвгдейка (ok), 15:52, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +9 +/
    ну так вы не в теме - у вас прошивка есть, только платная. Бегом в магазин за новой прошивкой :)
     

  • 1.2, fewless (?), 10:09, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Покупайте наших слонов! Обязательно новых.
     
  • 1.3, MPEG LA (ok), 10:14, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –22 +/
    а если бы Гугл замкнул на себя все процессы, как сделал Microsoft, а не раздавал на откуп всяким леновам - проблема действительно была бы устранена в течении пары часов...
     
     
  • 2.5, paulus (ok), 10:18, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +18 +/
    тогда бы о проблеме никто и не узнал...
     
     
  • 3.8, Аноним (-), 10:28, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –12 +/
    ...так быстро бы ее пофиксили. Ну даже не знаю, что лучше — быстро пофиксенный эксплойт, о которои никто и не узнал, или же эксплойт, который уже никогда не закроют, но о котором узнали все?
     
     
  • 4.10, Аноним (-), 10:31, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Нет, он продолжал бы существовать, но о нём никто, кроме эксплуатирующих товарищей, не знал бы. До момента выхода эксплоита на чёрный рынок.
     
  • 3.13, MPEG LA (ok), 10:49, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    с чего вдруг?
     
  • 2.26, EHLO (?), 11:32, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Microsoft
    >проблема действительно была бы устранена в течении пары часов...

    На ноль поделил. Лучше вместо курсов MS-миссионеров, запишись на основы математики.
    >в течении пары часов...

    И русского языка.

     
     
  • 3.28, iPony (?), 11:40, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну на самом деле windows mobile можно хорошо так за многое пинать, но с секурными обновлениями у них лучше. В этом плане ведроид - это днище из днищ.
     
     
  • 4.30, Аноним (-), 11:52, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему? В CyanogenMod, например, эти дыры закрыты сразу, после обнаружения.
     
     
  • 5.34, iPony (?), 12:04, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что приводишь в пример исключения, а не обычную ситуацию.

    Этак половина устройств с android на данный момент с версией <= 4.3
    Они точно не получат обновления. И это не только их проблемы, так как зараженные устройства организуют ботнеты, которые атакуют сервисы и рассылают спам.

    И про сразу закрытые дыры: это ты на ночнушке цыганомода сидишь?

     
     
  • 6.43, Аноним (-), 12:49, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это не исключение, а норма. Зачем пользоваться недооткрытой ОС, если есть открытый вариант?

    Да, это nightly build.

     
     
  • 7.77, Пользователь Debian (?), 14:08, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Затем, что дооткрытая на процессорах MTK не работает.
     
     
  • 8.86, Аноним2 (?), 14:32, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поможешь скомпилить CyanogenMod http 4pda ru forum index php showtopic 651024... текст свёрнут, показать
     
  • 8.87, Аноним2 (?), 14:33, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не туда ответил, вопрос на ступеньку выше ... текст свёрнут, показать
     
  • 8.93, Аноним (-), 14:46, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    CyanogenMod на кетайфонах ... текст свёрнут, показать
     
     
  • 9.150, Пользователь Debian (?), 20:13, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У меня, например, Philips W732 Я знаю, что мобильный Филипс это давно китай, но... текст свёрнут, показать
     
  • 5.42, Аноним (-), 12:49, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > CyanogenMod

    Это который стал давать стабильные версии только за денюжку, а всем остальным альфа релизы для тестирования?

     
     
  • 6.44, Аноним (-), 12:49, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> CyanogenMod
    > Это который стал давать стабильные версии только за денюжку, а всем остальным
    > альфа релизы для тестирования?

    Пруф?

     
  • 5.53, АнонимХ (??), 13:18, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это в 4.4 ветке то? Кто в здравом уме будет ставить 5 андроид, это же бета, которую сменит 6й релиз скоро.
     
  • 5.160, Аноним (-), 00:34, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Для большинства устройств его не было и не будет, как и обновлений от производителей.
     
  • 4.60, Sluggard (ok), 13:31, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Windows Mobile давным-давно мёртв, и никаких обновлений безопасности для него не выпускается уже лет несколько.
     
     
  • 5.69, iPony (?), 13:51, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я честно не знаю как эту ерунду называть, думаю не принципиально. Windows 10 называется Mobile, a не Phone.
     
  • 4.70, XoRe (ok), 13:52, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну на самом деле windows mobile можно хорошо так за многое пинать,
    > но с секурными обновлениями у них лучше. В этом плане ведроид
    > - это днище из днищ.

    Когда... (боже, что я говорю) ЕСЛИ у windows mobile будет под 1 млрд юзеров, вот тогда и поговорим о безопасности этой платформы.

     
     
     
     
     
     
     
    Часть нити удалена модератором

  • 10.116, EHLO (?), 15:48, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Цитата с сайта MS Где разница Кстати об обновлениях Давно интересуюсь пока ... текст свёрнут, показать
     
     
  • 11.179, Аноним (-), 23:46, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да ведь ты захлебнёшся своим жиром, деточка ... текст свёрнут, показать
     
  • 6.126, Sluggard (ok), 17:40, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > вы настолько не дружны с головой, что вам надо доказывать надежность централизованных
    > обновлений безопасности?

    А централизованность тут не при чём. Мы тут про нежно тобой любимых проприерастов. Пруфы, что M$ исправляет дыры сразу, как только находит. Пруфы, что вообще исправляет до того, как эксплойты появятся в открытом доступе и поднимется хай. Пруфы, что M$ проводит хоть какой-то аудит собственного кода, учитывая какой багаж костылей они тащат для совместимости.
    То же самое по Apple.
    Жду.
    P.S. Заявления самих M$/Apple, и прочие пресс-релизы и маркетоидный шлак за пруфы не считаются, они принципиально непроверяемы в силу закрытости кода.

     
     
  • 7.131, MPEG LA (ok), 17:58, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >А централизованность тут не при чём

    ну а я о ней.

    >Мы тут про нежно тобой любимых проприерастов

    fail, это вы про них говорите. я про другое вообще-то.

    > Пруфы, что M$ исправляет дыры сразу, как только находит

    Мы уже установили выше, что "несколько часов" это больше гипербола, с отсылкой к тексту новости.
    Вообще речь идет не сколько о времени, сколько о банальной невозможности доставки исправления очень опасных дыр в ведрах. Есть что сказать или сливаемся?

     
     
  • 8.134, Sluggard (ok), 18:13, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То, что они вообще что-то исправляют, я так понимаю, тоже С точки зрения Гугла ... большой текст свёрнут, показать
     
     
  • 9.149, Sluggard (ok), 20:13, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Куда, блин, делся кусок ветки ... текст свёрнут, показать
     
     
  • 10.153, MPEG LA (ok), 21:58, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    блииин мы же только начали резюмирую - гуглу надо бы подумать о подобного рода... текст свёрнут, показать
     
     
  • 11.155, Sluggard (ok), 22:03, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Умгу, я только нажал на ссылку в почтовике и меня кинуло на всю новость, в пусто... текст свёрнут, показать
     
     
  • 12.156, MPEG LA (ok), 22:07, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    говорят мелкие по 10-15 зелени берут с каждого дроида засим повесим вину на МС ... текст свёрнут, показать
     
     
  • 13.157, Sluggard (ok), 22:08, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Им же не все платят, емнип ... текст свёрнут, показать
     
     
  • 14.167, Аноним (-), 04:10, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только почему-то те, кто не платит, не выставляют цену на эти 10-15 ниже аналог... текст свёрнут, показать
     
     
  • 15.176, Sluggard (ok), 21:04, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Давно цены на китайские смарты видел Там не на 15 баксов дешевле, а порой в раз... текст свёрнут, показать
     
  • 5.161, Аноним (-), 00:35, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Когда... (боже, что я говорю)

    Да-да. Двойные стандарты.

     
     
  • 6.191, XoRe (ok), 11:54, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Когда... (боже, что я говорю)
    > Да-да. Двойные стандарты.

    Да нет, просто это личное мнение о том, что у MS не пойдут телефоны так массово, как андройды и айфоны.

     

     ....большая нить свёрнута, показать (35)

  • 1.4, paulus (ok), 10:17, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жесть. Нужно покупать #nexus и использовать #firefox ;)
     
     
  • 2.14, eRIC (ok), 10:49, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и что с #nexus потом делать после 2 года, ведь она тоже перестанет получать любые обновления?
     
     
  • 3.63, Аноним (-), 13:34, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А сколько лет нексусу 4? Он до сих пор получает обновы. Плюс кастомы никто не отменял
     
  • 3.81, Xenia Joness (ok), 14:18, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –38 +/
    Нормальный человек в среднем меняет свой телефон раз в 10 месяцев. Думаю Google ни в чём не виноват, если такие у него пользователи, которые по несколько лет насилуют один и тот же девайс.
     
     
  • 4.84, Аноним2 (?), 14:27, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Хм, мой телефон на Android 1 летней давности имеет процессор 2 ядра по 1.2GHz и RAM 1Gb. Мой первый компьютер имел примерно такую же мощность. Нетбуки 3 летней давности имели такую же мощность. Вы хотите сказать для

    позвонить/будильник/блокнот/просмотр_pdf/doc/картинки/фото/видео/музыка/карты/браузер/календарь/словарь/skype/точка доступа

    нужно обязательно выкинуть его и купить телефон с 8 ядрами и 2Gb оперативы про сто так?

     
  • 4.102, Аноним (-), 15:01, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Нормальный человек в среднем меняет свой телефон раз в 10 месяцев

    Т.е. он покупает невнятное нечто из подвала дядюшки Ляо, которое служит меньше года?
    Или меняет вполне рабочую вещь (ибо если она за этот срок устарела до невозможности нормального использования - см. пункт первый) просто что бы иметь более новую?
    Ну, тогда у меня для вас насчет "нормальности" плохие новости -- нормальные люди называют такие  "нормы" немного по другому. Скромным "потре*лятство" :)

     
  • 4.111, Анонимс (?), 15:24, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.

    O_o у вас понятие о нормальности сильно искажено. Лечится вам надо, сперва признайте, что больны, это первый шаг.

     
     
  • 5.147, Michael Shigorin (ok), 20:10, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Лечится вам надо, сперва признайте, что больны, это первый шаг.

    Видать, потреблондинка.

     
     
  • 6.151, Аноним (-), 20:19, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Подарили (с)
     
  • 6.180, Аноним (-), 23:50, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Видать, потреблондинка.

    Чего, даже не дрюкается уже? Или ты на какие-то стрёмные вещи возбуждаешся? Знаем мы ваших.


     
  • 4.114, Николай (??), 15:32, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +14 +/
    > Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.

    Зачем так долго! Купил-позвонил-выкинул!

     
     
  • 5.146, Маркетолог (?), 20:07, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зачем так долго! Купил-позвонил-выкинул!

    К этому и стремимся! Но не все сразу!
    Вон, раньше телефоны стоимостью заметно более сотни зелененьких -- только у серьезных дядей и тетей были (ну или у гиков и прочих маргиналов). А теперь тройка-четверка сотен за телефон на годик-полтора -- уже "дешефка!" :)

     
  • 4.119, anono (?), 16:21, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нормальный человек в среднем меняет свой телефон раз в 10 месяцев. Думаю
    > Google ни в чём не виноват, если такие у него пользователи,
    > которые по несколько лет насилуют один и тот же девайс.

    LOR снова протекает?

     
     
  • 5.123, Куяврег (?), 17:34, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    это не ЛОР, это ЖЫР
     
  • 4.137, Sluggard (ok), 18:32, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.
    > Нормальный человек

    Сколько ошибок в словосочетании «Безмозглый потребитель». =)

     
  • 4.144, mole (?), 19:56, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальный человек меняет телефон тогда, когда ему это становится нужно.
     
     
  • 5.203, Куяврег (?), 16:33, 21/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Нормальный человек меняет телефон тогда, когда ему это становится нужно.

    Не. Вот этим нужно раз в 10 месяцев. подозреваю - флешка переполняется и сразу в магазин.


     
  • 4.148, Аноним (-), 20:13, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Нормальный человек в среднем меняет свой телефон раз в 10 месяцев.

    Что за сказочный бред??

     
  • 4.162, Аноним (-), 00:39, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Нормальный человек в среднем меняет свой телефон раз в 10 месяцев. Думаю
    > Google ни в чём не виноват, если такие у него пользователи,
    > которые по несколько лет насилуют один и тот же девайс.

    Вы хотели сказать раз в 10 лет? Чем это мобильники такие особые, что я должен их каждый год менять? Ноут 7 лет здравствует (ну новому 2-3 года), авто под 15 лет, холодильнику скоро будет 20 лет. ЧЯДНТ?
    Аппаратно меня мой смартфон полностью устравивет. Отсуствие прошивок, нормальных репозиториев и обновлений из них - не мой косяк.

     
     
  • 5.170, iPony (?), 08:33, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты в другую сторону несёшь. Аккумулятор живёт этак года два (либо совсем вздуется, либо сильно ослабеет). Смартфон штука, которая постоянно в руках. Ты её достаешь из разных мест, запихиваешь в другие места и прочее... Забыл, задумался, и вот ты смартфон утопил в бассейне. Просто уронил пару раз неудачно на кирпич, и всё. Так что среднему человеку трудно больше 2 лет сохранить его во вменяемом состоянии.
     
     
  • 6.182, Аноним (-), 00:37, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я, видимо, не средний человек. У меня даже аккумулятор еще на уровне, да и внешний вид (без чехла) тоже.
    У меня стопка виндоус мобаил смартов лежит. Некоторым по 10 лет. Все внезапно рабочие. Аккум можно заменить при желании и все.
    А с дуру можно и это самое из титана сломать.

     
  • 6.184, Led (ok), 02:25, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Аккумулятор живёт этак года два

    Может, на ваших iВибраторах это и так...

     
  • 2.18, iPony (?), 10:55, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Я для себя сделал другой вывод - "не нужно покупать аппараты на android"
     
     
  • 3.37, Аноним (-), 12:29, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вывод характерный для понни. Не забудь написать сюда свой вывод когда будет найдена массовая уязвимость для продукции Apple.

     
     
  • 4.41, iPony (?), 12:36, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    При чем тут apple... Ну да. У них тоже с секурными апдейтами намного лучше.
    А вот с известной, критической, незапатченной уязвимостью тебя будут иметь и в хвост и в гриву.

    PS: Чини детектор, пишу с ubuntu phone.

     
     
  • 5.96, XoRe (ok), 14:53, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > При чем тут apple... Ну да. У них тоже с секурными апдейтами
    > намного лучше.

    У Apple все "божественно" с секурными обновлениями.

    27 мая обнаружили баг, когда смс с арабскими сиволами перезагружает телефон с ios 8.3.
    И как отреагировали в Apple?
    "Мы исправим это в следующем обновлении!"
    http://www.apple-iphone.ru/news/oficialno-apple-ispravit-oshibku-s-arab/

    А следующее обновление вышло 30 июня!
    "iOS 8.4 вышла 30 июня 2015 в 18.00 по московскому времени."
    http://www.apple-iphone.ru/tag/ios-8-4/

    Целый месяц!

     
     
  • 6.113, iPony (?), 15:29, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, было такое.
    Слово "божественно" - это уж твои выдумки, я написал лучше - и это факт. Не закрытая атака DoS в течении месяца, намного лучше всего того, что оставляется на андроидах без обновлений.
     
     
  • 7.120, Anonymous528 (?), 16:23, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Гугл патч уже выслала всем производителям. А что будут с ним делать оные это только им и известно.
    Гугл просто делает ОС для телефонов, не нравится что сделали с ней мануфактурщики. Сделайте свое! О чем вы ноете!
     
  • 7.190, XoRe (ok), 11:50, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Слово "божественно" - это уж твои выдумки, я написал лучше - и
    > это факт. Не закрытая атака DoS в течении месяца, намного лучше
    > всего того, что оставляется на андроидах без обновлений.

    Слово "обжественно" - это моя характеристика того, как Apple закрыла эту дыру.

    > Да, было такое.

    Ну собственно, давайте теперь посмотрим на реакцию google по факту, а не по вашим догадкам.
    И только после этого будем сравнивать.
    А пока идет сравнение между "факт о том, как закрывает дырки apple" и "личное мнение, как это сделает google".

     
     
  • 8.196, soarin (ok), 05:09, 31/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут и смотреть ничего не надо, уже много раз это видел, когда критические уязвим... текст свёрнут, показать
     
     
  • 9.197, XoRe (ok), 17:10, 31/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто у пользователей андройда есть выбор Можно взять такой телефон с андроидо... текст свёрнут, показать
     
  • 6.125, anonimous (?), 17:39, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты сравнил. Месяц vs Никогда.
     
     
  • 7.172, EHLO (?), 09:03, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну ты сравнил. Месяц vs Никогда.

    Ну ты сравнил. Месяц vs Уже.
    >Проблема также устранена в альтернативной сборке PrivatOS 1.1.7 и в ночных сборках CyanogenMod 12.0 и 12.1

     

     
  • 4.45, Аноним (-), 12:50, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вывод характерный для понни. Не забудь написать сюда свой вывод когда будет
    > найдена массовая уязвимость для продукции Apple.

    будет массово выпущено обновление. А где там обновление на аппараты от Билайна? или LG ?
    нравится хавать не фикшеные прошивки - давайте.. другого вам Google не предоставил.

     
     
  • 5.88, Аноним2 (?), 14:35, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Вывод характерный для понни. Не забудь написать сюда свой вывод когда будет
    >> найдена массовая уязвимость для продукции Apple.
    > будет массово выпущено обновление. А где там обновление на аппараты от Билайна?
    > или LG ?
    > нравится хавать не фикшеные прошивки - давайте.. другого вам Google не предоставил.

    Как раз таки Google со своим Nexus обновления имеет, пусть даже через сообщество с его CyanogenMod, и имеет его не вопреки гугл, так как драйвера и исходники гугл выкладывает своевременно и как надо.

     
  • 3.40, _KUL (ok), 12:35, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ибо не нужно мешать спецслужбам открывая исходники и показывая дыры народу.
     
  • 3.163, Аноним (-), 00:39, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Я для себя сделал другой вывод - "не нужно покупать аппараты на
    > android"

    Был бы выбор - не покупали бы.

     
     
  • 4.175, Аноним (-), 15:55, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В теории Sailfish, если откроют исходники. Джва года жду уже.
     
  • 2.21, Crazy Alex (ok), 11:11, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И чего ради это проблема для людей на техническом форуме? наверняка патчи к прошивкам для большинства устройств появятся быстро. Ну да, не от производителя - и что? Плюс альтернативные прошивки вроде MIUI и подобных - не вижу проблем.
     
     
  • 3.25, 123 (??), 11:32, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >наверняка патчи к прошивкам для большинства устройств появятся быстро

    От души посмеялся.

     
     
  • 4.31, Mihail Zenkov (ok), 11:55, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А что смешно?
    CM12 уже исправили, CM11 на подходе. Большинство альтернативных прошивок основано на CM.
     
     
  • 5.46, Аноним (-), 12:51, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А что смешно?
    > CM12 уже исправили, CM11 на подходе. Большинство альтернативных прошивок основано на CM.

    CM12 уже вышел из ночных билдов и стабилизируется ?

     
     
  • 6.55, Аноним (-), 13:23, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что не так с ночными билдами? Они вполне стабильны.
     
  • 5.47, 123 (??), 12:51, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Со сколькими моделями оная совместима (при мировом объёме продаж этого хлама в 200 млн штук)?
     
     
  • 6.65, Аноним (-), 13:37, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Со сколькими моделями оная совместима (при мировом объёме продаж этого хлама в
    > 200 млн штук)?

    263 модели поддерживаются официально, 156 - в разделе "unoficially supported" (это грубый подсчёт, без учёта вхождений типа "all Sony Xperia devices", их полно и лень считать), плюс овер дофига стоят в очереди на принятие в основную ветку - эти прошивки можно найти на xda.

     
     
  • 7.89, Аноним2 (?), 14:36, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Со сколькими моделями оная совместима (при мировом объёме продаж этого хлама в
    >> 200 млн штук)?
    > 263 модели поддерживаются официально, 156 - в разделе "unoficially supported" (это грубый
    > подсчёт, без учёта вхождений типа "all Sony Xperia devices", их полно
    > и лень считать), плюс овер дофига стоят в очереди на принятие
    > в основную ветку - эти прошивки можно найти на xda.

    Сколько из них актуальны, находятся в продаже и имеют вменяемую цену, а не по 300$ за керпичик?

     
     
  • 8.106, Аноним (-), 15:15, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот пытался понять, где у нас здесь камень преткновения Триста баксов - это т... текст свёрнут, показать
     
  • 8.108, XoRe (ok), 15:23, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отличный вопрос А, главное, в тему ... текст свёрнут, показать
     
  • 8.164, Аноним (-), 00:42, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тебя уже куда-то понесло Актульные и так обновятся может быть ... текст свёрнут, показать
     
  • 7.98, 123 (??), 14:56, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >263 модели поддерживаются официально

    Из них большая часть - Google, LG и Samsung.

    Один Хуавей (занимающий 20% мирового рынка) чего стоит - три некромодели. Три некромодели на одного из крупнейших производителей в мире Карл. Две модели Xiaomi (!), один Acer, совсем один.

    >156 - в разделе "unoficially supported"

    Без GPS, WI-Fi, а то и без звонков. Не нужно.

     
     
  • 8.105, Аноним (-), 15:10, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вы же не покупаете железо, которое работает только под Windows Зачем тогда б... текст свёрнут, показать
     
  • 8.110, Аноним (-), 15:23, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Купить железку, на обновы и поддержку которой забил болт производитель и для кот... текст свёрнут, показать
     
     
  • 9.127, 123 (??), 17:42, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Отвечая на два выше написаных поста Не путайте красное с горячим Речь о том, ... текст свёрнут, показать
     
  • 4.33, Crazy Alex (ok), 12:01, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Для непонятливых - я не имел в виду патчи от производителя. И даже от цианогена. Там же почти наверняка вопрос в том, чтобы подменить какую-то либу, которая будет общей для всех прошивок одной версии. А тех, кто способен в нужном формате это запаковать, чтобы какой-нибудь CWM подхватил и обновил - вагон.
     
  • 3.205, st17 (ok), 23:02, 08/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Crazy Alex:
    "Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера, обработка функциями, принимающими длину буфера, переаллокация при нужде... И библиотек, которые всё это делают - вагон, если руками лень.
    В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские."
    5.10.2015: http://www.opennet.ru/opennews/art.shtml?num=43090#4

     

     ....большая нить свёрнута, показать (54)

  • 1.7, yalok (?), 10:26, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Значит можно просто обновить приложение для получения MMS (messenger) и chrome.
     
     
  • 2.9, yalok (?), 10:28, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и android system webview.
     
     
  • 3.22, koblin (ok), 11:12, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это кстати только что обновилось через маркет.
     
     
  • 4.23, iPony (?), 11:14, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну это только для android >= 4.4
     
  • 2.24, Andrey Mitrofanov (?), 11:19, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Значит можно просто обновить приложение для получения MMS (messenger) и chrome.

    А
           ""в коде обработки мультимедийных данных платформы Android""
    что тогда значит??

    Успехов в обновлении с маркетов lib[jpeg]-ов и всяких биоников.

     
     
  • 3.29, yalok (?), 11:45, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Зато через MMS или браузер взлом не произойдёт.
     
  • 2.165, Аноним (-), 00:44, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Значит можно просто обновить приложение для получения MMS (messenger) и chrome.

    Лучше скажите как отключить прием ммс =)

     

  • 1.11, Аноним (-), 10:48, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Может, глупый вопрос, но эта уязвимость касается Цианогена? Кто-нибудь знает?
     
     
  • 2.15, Аноним (-), 10:50, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я знаю.


    http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/

    https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8

     

  • 1.12, Аноним (-), 10:49, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я просто оставлю это здесь:

    http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/

    https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8

     
  • 1.16, koblin (ok), 10:50, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ахаха, эпично ))
    Гуглу стоило бы перенести максимум компонентов в маркет и обновлять их напрямую.
     
     
  • 2.27, 123 (??), 11:35, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Гуглу стоило бы перенести максимум компонентов в маркет и обновлять их напрямую.

    Но вот всё больше производителей напильником вырывают из своих "поделий" гуглосервисы, для экономии на отчислениях корпорации добра, так что счастливым обладателям 65% ведрофонов это не поможет уж точно.
    Фрагментация платформы, однако.


     
     
  • 3.166, Аноним (-), 00:46, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Правильно и делают. Если они (гугль) хотят регистрации и иметь контроль над устройством для того чтобы дать скачать обновления, то пшли они подальше.


     
     
  • 4.171, 123 (??), 08:50, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Качественная альтернатива это хорошо, но, как правило гуглозонд заменяют самопальным зондом от производителя или стороннего разработчика. Ширпотребные устройство и вовсе идут "без ничего". Ну и в довесок, именно такие устройства и не получают обновления в принципе.
     
     
  • 5.178, Аноним (-), 23:42, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если бы гугль не делал свой маркет ущербным by design, то никто бы не возбухал. Пока что наколенная альтернатива маркету фдроид на голову его превосходит. А другие службы гугля - вообще дело десятое.


     
     
  • 6.192, 123 (??), 11:56, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    f-droid сам пользуюсь с удовольствием (кривым поделиям гугла и прости-господи яндухса до него как до небес), но там многих вещей нет, поскольку он "свободный". Как альтернативу для себя - скачивание непосредственно с сайта разработчика приложений (но многие распространяют только через маркеты).
    В общем и целом - цирк, смарт с firefox os мне куда больше нравится + производитеольность на уровне.
     

  • 1.17, backbone (ok), 10:53, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если в настройках удалить APN для MMS, уязвимость можно будет эксплуатировать?
     
     
  • 2.57, Нанобот (ok), 13:24, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    думаю нет. но это слишком радикальное решение
     
     
  • 3.59, backbone (ok), 13:30, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > думаю нет. но это слишком радикальное решение

    На Лоре подсказали, что APN нужна только для отправки, что-то типа указания шлюза. А то я лично MMS никогда не пользовался, жаль в старых CM нету Privacy Guard, а удалять мессенджер что-то не хочется....

     

  • 1.19, Аноним (-), 10:55, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Miui поддвержена данной уязвимости?
     
  • 1.20, Аноним (-), 10:59, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Адрес отправителя скрыт: (Без темы) 27 июл

    Размер сообщения: 37 кб

    Загрузить

    Не нажимайте эту кнопку!

     
     
  • 2.32, zhenya_k (?), 11:56, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из текста новости выходит, что ненажимать на кнопку уже поздно.
     
     
  • 3.38, Аноним (-), 12:32, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Уязвимости подвержены версии 2-2.4.3" Блин, у меня как раз 2.2.1! И что теперь делать, если я получил такое сообщение? Устанавливать криогенмод? А что если моя модель телефона слишком старая, и криогенмод для неё не собирали?
     

  • 1.35, Alex972 (?), 12:22, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вот таким образом проблема не решается?
    СООБЩЕНИЯ -> НАСТРОЙКИ -> MMS -> АВТОПОЛУЧЕНИЕ (СНЯТЬ ГАЛКУ)
     
     
  • 2.48, i_stas (ok), 12:53, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    там конечно по взрослому это называется по другому, умными словами, но смысл именно такой:

    ммс - это способ отправить много контента втиснув в размер СМС 160 символов.
    по этому в 160 символов шлют ссылку на сайт.  

    эта галка автополучения влияет на автоматическую закачку странички по этой ссылке.

    а уязвимость в обработке пришедшей смс. задолго до начала получения странички. что там будет потом - автоматически или вручную - совершенно не важно. оно уже случилось.

     
     
  • 3.52, seyko (??), 13:18, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а уязвимость в обработке пришедшей смс. задолго до начала получения странички

    Позвольте усомниться, сэр! Из новости следует, что ошибка всё же при обработке закчанного сообщения. Например, что преступник может удалть сообщение и останется только уведомление о его получении.

     
     
  • 4.128, i_stas (ok), 17:43, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> а уязвимость в обработке пришедшей смс. задолго до начала получения странички
    > Позвольте усомниться, сэр! Из новости следует, что ошибка всё же при обработке
    > закчанного сообщения. Например, что преступник может удалть сообщение и останется только
    > уведомление о его получении.

    Ну естественно, разумный злоумышленник поставит свой софт и примет меры к скрытию своей активности.

     
  • 3.62, Нанобот (ok), 13:33, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а уязвимость в обработке пришедшей смс.

    в оригинале так: "specially crafted media file delivered via MMS".


     
     
  • 4.138, i_stas (ok), 18:37, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> а уязвимость в обработке пришедшей смс.
    > в оригинале так: "specially crafted media file delivered via MMS".

    В оригинале реклама "покупайте наш антифирус"

    "For the mobile devices without zIPS protection, fixes for these issues require an OTA firmware update for all affected devices. "

    "Устройства с установленным "zIPS защита" не подвержены этой напасти и могут обойтись без обновления прошивки."

     
     
  • 5.140, Аноним (-), 18:54, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > В оригинале реклама "покупайте наш антифирус"
    > "Устройства с установленным "zIPS защита" не подвержены этой напасти и могут обойтись без обновления прошивки."

    Ну так кушать хотят все.
    Интересно, с чего бы им, забесплатно предоствалять патчи/"решением проблемы"  для устройств, на которые вендоры (взяв нехилую денюжку(!)) положили бооооольшой и толстый болт?
    Это уже ССЗБзмом попахивает.

     
  • 2.67, backbone (ok), 13:46, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот таким образом проблема не решается?
    > СООБЩЕНИЯ -> НАСТРОЙКИ -> MMS -> АВТОПОЛУЧЕНИЕ (СНЯТЬ ГАЛКУ)

    Похоже, что достаточно, т.к. речь идёт о "if you receive a booby-trapped MMS and accidentally view it", т.е. получите и случайно посмотрите его, + надо отключить/удалить broken xmpp aka Hangouts.

    >(There are a couple of workarounds: one is to root your Android mobile and disable Stagefright. Another is to remove or disable Google Hangouts, the default messaging app on Android, which processes video messages automatically. Even without Hangouts, if you receive a booby-trapped MMS and accidentally view it, you'll still be infected. Finally, you could tweak your carrier settings to not receive MMS texts.)

     
  • 2.95, Аноним2 (?), 14:51, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот таким образом проблема не решается?
    > СООБЩЕНИЯ -> НАСТРОЙКИ -> MMS -> АВТОПОЛУЧЕНИЕ (СНЯТЬ ГАЛКУ)

    А я поставил Прием MMS > "отключено". Этого хватит? (у меня написано именно так)

     
     
  • 3.121, backbone (ok), 16:44, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё hangouts надо отключить.
     
     
  • 4.130, Аноним (-), 17:56, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это что? Просто не видел такого, у меня сервисов гугла нету, модель Nokia X2 это бы эксперимент Microsoft над Android и там сервисы от Microsoft, а не от гугл.
     
     
  • 5.132, backbone (ok), 17:59, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это что? Просто не видел такого, у меня сервисов гугла нету, модель
    > Nokia X2 это бы эксперимент Microsoft над Android и там сервисы
    > от Microsoft, а не от гугл.

    Ясно. Hangouts - это немного изменённый и, имхо, подпорченный протокол Джаббера.

     

  • 1.36, Аноним (-), 12:23, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В ситуации отсутствия обновлений для подавляющего большинства ведрофонов, эта дыра так навсегда и останется
     
  • 1.39, нонэймус (?), 12:34, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Хорошо что на мой Н9 давно уже все забили и я не знаю о его уязвимостях, и сплю спокойно.
     
  • 1.49, Аноним (-), 12:54, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "позволяющей организовать выполнение кода через отправку сообщений MMS или Google Hangout"

    Надо линять на цианоген

     
     
  • 2.58, Аноним (-), 13:24, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "позволяющей организовать выполнение кода через отправку сообщений MMS или Google Hangout"
    > Надо линять на цианоген

    Надо. Оно реально лучше всех существующих прошивок по всем параметрам, практически.

     
     
  • 3.66, Аноним (-), 13:39, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Только трудность установки всё портит, я дважды пытался приступить к этому но бросал по причине того, что надо кучу разных утилиток скачать неизвестно откуда...
     
     
  • 4.72, Аноним (-), 13:58, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да там требуется стандартный adb fastboot из пакета разработчика Android для бо... большой текст свёрнут, показать
     
     
  • 5.78, Аноним2 (?), 14:10, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А вот насчет odin и подобных "утекших от производителя" я не уверен. Код то закрыт. И чем получается лучше установка неизвестно как переделанной прощивки от дяди Вани? Та же "Гсборка" в итоге.
    Единственный выход на сегодня получить нормальный телефон - это покупка телефона для которого уже существуют: TWRP/CWM, CyanogenMod, PrivatOS, ParanoidAndroid, Replicant.

    Причём нужно проверить список их багов, чтобы работало всё оборудование и посмотреть кто и как создавал эти прошивки/моды_recovery (чтобы не оказалось, что исходники вообще левые, а прошивка - переделанная из оригинала).

    То есть максимально безапасно - с официального сайта CyanogenMod в разделе стабильных или прошивки вроде PrivatOS, которые вообще выпущены вместе с устройствами.

     
     
  • 6.80, Аноним (-), 14:14, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот насчет odin и подобных "утекших от производителя" я не уверен.

    А кто там "утёк" у производителя?

    Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с новыми устройствами самым жутким образом, надо собирать из гита для более или менее удачной работы.

     
     
  • 7.90, Аноним2 (?), 14:39, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> А вот насчет odin и подобных "утекших от производителя" я не уверен.
    > А кто там "утёк" у производителя?
    > Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с
    > новыми устройствами самым жутким образом, надо собирать из гита для более
    > или менее удачной работы.

    На сколько я знаю odin утёк. Как и например NokiaCare от Nokia (да у них тоже есть Android телефоны).

     
  • 7.91, Аноним2 (?), 14:40, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> А вот насчет odin и подобных "утекших от производителя" я не уверен.
    > А кто там "утёк" у производителя?
    > Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с
    > новыми устройствами самым жутким образом, надо собирать из гита для более
    > или менее удачной работы.

    Как и OPST от Qualcomm

     
  • 7.94, Аноним2 (?), 14:48, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Вместо odin можно взять heimdall, он кроссплатформенный и открытый. Только глючит с
    > новыми устройствами самым жутким образом, надо собирать из гита для более
    > или менее удачной работы.

    В описании написано, что она только для S серии, к сожалению у меня Samsung GT-B5510 Galaxy Y Pro

     
     
  • 8.99, Аноним (-), 14:57, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Users have reported success with a wide variety of Samsung s mobile phones and ... текст свёрнут, показать
     
     
  • 9.100, Аноним (-), 14:58, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя, с другой стороны, я не нашёл сборки CyanogenMod под ваш аппарат ... текст свёрнут, показать
     
     
  • 10.133, Аноним (-), 18:02, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    CyanogenMod нету, есть кстом, но собранный вроде как из исходников, по крайней м... текст свёрнут, показать
     
  • 4.73, Аноним (-), 14:04, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ШИТО Какие утилитки Это тогда не CyanogenMod, а скорее всего модефицированная ... большой текст свёрнут, показать
     

  • 1.50, Аноним (-), 12:58, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Миленький ботнетик на 950 млн. узлов может получиться
     
     
  • 2.51, i_stas (ok), 13:02, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    представляешь как озолотятся операторы сотовой связи на 3G\GPRS трафике этого ботнета?

    вот мы и узнали заказчиков - o2 vodafone at&t tele2 chinamobile

     
     
  • 3.54, Аниним (?), 13:20, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    аргумент уровня "давайте подумаем кому это выгодно"
     
  • 3.76, twilight (ok), 14:07, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Объясни, как можно "озолотиться" на трафике во времена безлимитных тарифов?
     
     
  • 4.79, Аноним2 (?), 14:14, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Безлимитные тарифы вменяемой стоимости только в крупных городах. Большинство людей экономит, так как бедных по определению больше чем богатых. Если мне хватает 200 мб в месяц на сайты, почту и переписку, а остальное я качаю/смотрю дома, то зачем мне тариф в 5 раз дороже?
     
  • 4.122, Аноним (-), 17:14, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Объясни, как можно "озолотиться" на трафике во времена безлимитных тарифов?

    Безлимитный мобильный тариф? Это тот, который урезается после пары сотен мб чуть ли не до скорости диал-ара? Ну да, 64кбит/c  – это же совсем не ограничение :)

     
  • 4.124, i_stas (ok), 17:38, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > во времена безлимитных тарифов?

    И ты, конечно, готов показать эти самые безлимитные тарифы?

    Можешь начинать.

     

  • 1.64, Аноним (-), 13:36, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Какие исправления в течении 18 месяцев? Если даже Microsoft (бывшая Nokia) забила на свою Nokia X2 (там Android) почти через 1 год?
     
     
  • 2.186, soarin (ok), 05:31, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Даже"...
    В качестве примера обычно указывают на что-то достойное. Выпуск расшатанной Nokia этого X, что было таким кратковременным провальным экспериментом, ну просто смешно упоминать.
     

  • 1.74, twilight (ok), 14:06, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > связанным с ним полномочиями (чтение и отправка сообщений, доступ к адресной книге)

    Вангую массовый фрод, как только мошенники смогут повторить уязвимость или найти POC.
    Порекомендовал бы пользователям Сбербанка либо отключить мобильный банкинг, либо перенести его на тупую звонилку.

     
     
  • 2.92, sv71 (?), 14:41, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Откройте для себя разовые пароли. :-)
     
  • 2.158, Ytch (ok), 22:38, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Порекомендовал бы пользователям Сбербанка либо отключить мобильный банкинг, либо перенести его на тупую звонилку.

    Пользователи могильного банка от Сбера в курсе, что можно прям на сайте (сбер-онлайн) в настройках могильного банкинга отключить одну веселую (по умолчанию включенную) опцию под названием «Быстрый платеж». И тогда через мобильный банк можно будет осуществлять платежи ТОЛЬКО по вашим собственным шаблонам и никуда более.

     
     
  • 3.188, Аноним (-), 08:07, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    типа если контроль над твоей мобилкой у дяди, с помощью которой ты пользуешся банкингом, то этот дядя зайдет на сайт получит смс потвердит вход и отключит дурацкую опцию.

    Мобилка это второй канал аутентификации, а если ты пользуешся онлайн-банкингом , то сам себе буратино.

     
     
  • 4.194, Ytch (ok), 22:39, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > то этот дядя зайдет на сайт получит смс

    дядя ещё должен для этого знать логин/пароль, которых, кстати, нет на мобилке (никода  не пользоваться онлайн-банкингом с той же мобилки считаю само собой разумеющимся). Второй вариант для этого дяди - иметь мою карту и пин-код (но тогда ему нах не надо заморачиваться со всеми мобильно-онлайновыми делами)

    > Мобилка это второй канал аутентификации

    Нет, не так. Мобилка - это вторая половинка аутентификации, а никакой не второй канал. Логин/пароль + мобилка = если нет хотя бы одного из этого, то фиг ему. И даже если есть, но я контролирую карту и у меня есть время добраться до банкомата - то снова фиг ему.

     
     
  • 5.198, анином (?), 06:46, 01/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Условием было пользование онлайн банком, с мобилки. При таком раскладе, контроль над смартом даёт возможность перехватить логин, пароль.

    Второй канал или вторая половинка канала аутентификации -терминологические тонкости, не о них речь

     
     
  • 6.200, Ytch (ok), 01:35, 02/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Условием было пользование онлайн банком, с мобилки.

    Это в каком это месте было такое условие? Про онлайн-банк речь, как бы, вообще изначально не шла - я лишь сказал, что там можно отключить произвольное использование могильного банка сбера. Мне начали говорить, что вообще все пользователи онлайн-банка - ссзб. Вот и все условия, которые были.

    > Второй канал или вторая половинка канала аутентификации -терминологические тонкости, не о них речь

    Фигасе тонкости... "Второй канал" подразумевает параллельно первому (то есть некий обход, альтернатива). "Вторая половинка" подразумевает последовательно с первой половинкой (то есть одно без другого не сработает). В корне разное поведение (в т. ч. и с точки зрения безопасности)

     

  • 1.97, Dimasik (??), 14:55, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мдауш. Цианоген свой я конечно обновил, но остается вероятность что устройство уже заражено, а полный вайп делать ой как неохота :(
     
     
  • 2.101, Аноним (-), 15:01, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Мдауш. Цианоген свой я конечно обновил, но остается вероятность что устройство уже
    > заражено, а полный вайп делать ой как неохота :(

    Чойта? CyanogenMod, судя по тому, что вы его обновили, минимум 12. Там есть сэндбоксинг, много проблем не будет.

     
     
  • 3.103, Dimasik (??), 15:04, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, найтли цианоген 12. Прописаться в систему троян не мог через эту уязвимость значит?
     
     
  • 4.118, Аноним (-), 15:56, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, найтли цианоген 12. Прописаться в систему троян не мог через эту
    > уязвимость значит?

    Прежде всего, эта уязвимость пока не используется. Эксплойт будет обнародован только в начале августа. То есть шансы, что кто-то распространял какое-то вредоносное ПО с помощью эих уязвимостей, крайне мал.

     
     
  • 5.169, soarin (ok), 05:39, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Про панику конечно смешно, что прям нахакали всех :D
    Но и твоя уверенность слишком уверенная.
    1-day уязвимость вообще опасная штука. Есть описание уязвимости, есть патч устраняющий эту уязвимость. Поэтому весьма просто понять в чём дело и самому уже по таким подаркам... ну ты понял. И это не надуманность.
     
     
  • 6.189, Аноним (-), 09:43, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Патчи-то в CyanogenMod приехали гораздо раньше, чем уязвимость обнародовали. Неделями раньше, если ориентироваться на официальный гуглоплюс CyanogenMod.

    Ну а то, что сразу после выхода патчи мог кто-то проанализировать и быстро начать использовать - это да, не исключено.

     

  • 1.104, кевин (?), 15:05, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот поэтому Java > C++
     
     
  • 2.112, Stax (ok), 15:26, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так а что поделать? Скорости джавы не хватает, вот и реализовали либу мультимедийной обработки на плюсах. Ну и получили вот...
     
     
  • 3.202, Kerman (?), 11:55, 05/08/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Java не сильно медленнее плюсов. Это уже давно устоявшееся заблуждение, повторяемое как Отче Наш плюсовиками. Создание коротко-живущих объектов (по типу буффера) - это очень дешёвая операция (порядка арифметических), их сборка происходит мгновенно, а скорости арифметики и виртуальных вызовов идентичны. Зато Java проигрывает плюсам в отсутствии
    небезопасного поинтероблудия и выстрелов себе в ногу (unsafe не в счет).
     

  • 1.107, Chaser (??), 15:20, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот если бы там был полноценный линукс с PaX ядром и песочницей GrSecurity - такой херни бы не было.
     
     
  • 2.115, Аноним (-), 15:47, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот если бы там был полноценный линукс с PaX ядром и
    > песочницей GrSecurity - такой херни бы не было.

    То она была бы дедушкой. Да, это идеальный вариант, но пока до него далековато.

     
  • 2.159, Stax (ok), 23:15, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Там есть selinux. И песочница есть. В новости же написано
    > выполнение кода злоумышленника будет ограничено sandbox-окружением приложения и связанным с ним полномочиями (чтение и отправка сообщений, доступ к адресной книге).
     
     
  • 3.193, Chaser (??), 15:01, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А PaX нет, и защиты от выполнения кода в data-секции нет, а это ведь самая распространенная уязвимость.
     

  • 1.129, nokia6300 (?), 17:56, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ржу над каментами
     
  • 1.142, irinat (ok), 19:08, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Проблеме присвоено кодовое имя Stagefright

    Stagefright — это название низкоуровневой части видеосистемы Android, а не кодовое имя проблемы.

    http://source.android.com/devices/media.html

     
     
  • 2.143, soarin (ok), 19:35, 28/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    "В  OS X найдена серъёзная уязвимость, которой дали название bash" (с) <какое-то американское новостное телевидение, не помню какое именно, про ShellShock>
     

  • 1.152, Аноним (-), 21:29, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А проблему через оператора сотовой связи решить реально? У меня услуга ММС уже как года 3 отключена на стороне оператора т.к. в современных реалиях она я даже не знаю где может пригодиться.
     
     
  • 2.168, soarin (ok), 04:26, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ещё раз, проблема с мультимедиа системе андроида. MMS - это хороший, но не единственный вектор хаканья пользователя.
     
     
  • 3.181, Ytch (ok), 23:57, 29/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > но не единственный вектор хаканья пользователя.

    но это ж вовсе не значит что этот не стоит и закрывать

     

  • 1.154, yz (?), 22:02, 28/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Не долго страдать осталось. Windows 10 на подходе
     
     
  • 2.185, Led (ok), 02:38, 30/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не долго страдать осталось. Windows 10 на подходе

    Сдохнешь от счастья?

     
     
  • 3.195, soarin (ok), 05:00, 31/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Видать уже.
     

  • 1.174, arisu (ok), 15:19, 29/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пацаны, налетай, хавлявные ведроиды!
     
  • 1.199, Аноним (-), 08:01, 01/08/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А планшеты тоже уязвимы?
     
     
  • 2.201, zZz (?), 01:29, 04/08/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А планшеты тоже уязвимы?

    Если на планшете установлен дроид выше 2.2 и есть GSM модуль, то да.

     

  • 1.204, Аноним (-), 18:28, 16/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Похоже уже начали ломать.
    После сообщения об уязвимости я выключил автоматический приём MMS.
    Сегодня пришло уведомление о приходе MMS c "Неизвестный адрес". Вложение 37 кБ.
    Загружать не стал. Удалил.
    В Мегафон UMS никаких MMS не обнаружил. Но возможно там система не отображает сообщения без номера.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру