Компания Dasient подготовила (http://www.darkreading.com/smb-security/167901073/security/n...) для конференции Black Hat доклад с результатами изучения проблем безопасности, свойственных приложениям для платформы Android. В результате исследования было выявлено, что одной из наиболее распространенных проблем является утечка личных данных. Из 10 тысяч проанализированных программ, более 800 приложений так или иначе передавали персональные данные пользователя на внешние неавторизированные серверы. 11 приложений без спроса пользователя отправляли SMS на другие номера, открыв таким образом эру мобильного спама, рассылаемого через смартфоны.
Дополнительно отмечается, что наблюдается интерес злоумышленников к распространению вредоносного кода через легитимные и популярные приложения, распространяемые через Android Market. Вредоносный код в такие программы может быть внедрен путем перехвата параметров аутентиф...URL: http://www.darkreading.com/smb-security/167901073/security/n...
Новость: https://www.opennet.ru/opennews/art.shtml?num=31253
Все предельно просто. В закрытый код хрен всадишь несанкционированное изменение. Не будучи асом debug.com. И закрытый код тупо проверяется на сигнатуры. Симантек на этом капусту рубит.В открытый код грамотный кодер может засунуть все, что пожелает - а хомячье, пребывая в блаженном неведении относительно того, что "другие проверят" - ставит и радуется, что-де все чисто, миллион обезьян, да еще при наличии сорцов, не может ошибиться.
Что, с логикой вообще туго? Или под хандроид весь код - бинари и блобы?
Да, подавляющее большинство приложений под андроид - закрытые. Открытость исходников платформы никоим образом с описанной в новости проблемой не коррелирует.
> Да, подавляющее большинство приложений под андроид - закрытые. Открытость исходников платформы
> никоим образом с описанной в новости проблемой не коррелирует.Тогда в порядке небольшого троллинга следующий вопрос. Луноходы с пеной у рта доказывают безопасность и непробиваемость их платформы, которой даже антивири без надобности. Оказалось, это не так в промышленных масштабах?
> Оказалось, это не так в промышленных масштабах?В случае Android пользователь сам загружает трояна, а потом его запускает и при этом соглашается на вывод предупреждения, что устанавливаемый скринсайвер требует фунуции отправки SMS и обращения к сетевым ресурсам.
>>Луноходы с пеной у рта доказывают безопасность и непробиваемость их платформы,Скорее с пивом у рта и идеями большевиков в голове.
В продолжение - надеюсь не удалят:
-Мой кот считает, что если он научится открывать банки с кормом он станет свободным. Правда он не может понять откуда корм берется.
Толстовато получилось.
Если чо, GNU/Linux и Android/Linux это две платформы с одним ядром но сильно разными юзерспесами. И эти самые юзерспейсы ой как не одинаково относятся к разграничению привилегий.
>>это две платформы с одним ядром но сильно разными юзерспесами.А что личные данные в ядре храняться? Пробить WDM кстати очень сложно. Отключать UAC или сидеть под рутом - дебилизм одной степени.
Многочисленные взломы SF сотоварищи и чертова туча дыр в свободом софте уже делают linux намного более уязвимой системой. Пока ей пользовались маргиналы - одно, а вот станет популярной и проблем станет много больше.
Об чем и спич. Большевики пишут письмо товарищу Фантомасу^W пока так называемая ОС не стала мэйнстримом, можно было сколько угодно блеять о том, что она-де самая-самая, и малвари-то под нее нет, и антивирей не нужно в принципе, и винда - дырявое корыто. А тут-то он оно как оказалось! Не настолько она и идеальна - так, еще одна массовая поделка, ко всему неизвестно кем и как сопровождаемая и при этом никто персонально ни за что не ответственен.
Ну так кто гуглу виноват что они стор раздолбайски содержат? Например в репах дебиана малвари около 0%, поэтому стань он хоть трижды майнлайн - откуда возьмется малварь?
Проприетарщики уже согнулись под тяжестью ответственности
ой как толсто. А ничего, что в винде вирусы обычно используют дыры в софте (самой ОС), чтобы внедриться в систему а в линухе пользователь должен сам поставить себе вирус? Если говорить про андройд, проблема именно в том, что большинство приложений пропиетарные и их изменения не так просто отслеживать.В любом случае в линухе (что в обычном, что в андройде) нужно устанавливать доп софт для того чтобы что-то словить (и то с значительно меньшей вероятностью). В винде просто вылезти с непропатченной системы в интернет. Есть разница?
Вы не в теме того что пишете и поэтому в очередной раз распространяете мифы.9 из 10 массовых эпидемий происходящих на Windows сейчас не используют никаких уязвимостей. Пользователи сами ставят вирусы себе под видом кодеков и антивирусов.
Единственный вирус сейчас распространяющийся с помощью уязвимости Conficker. Но для этой уязвимости еще в 2008 году была выпущена заплатка. Так что те кого он заражает бараны.
Пользователь с правом на установку и запуск программ может установить вирус на любой ОС.
Ясно вроде, нет?
> Тогда в порядке небольшого троллинга...Вы, месье, обманщик, т.к. троллинг развели очень доже большой.
По теме Вам уже всё ответили. Вся проблема в том, что:
1) Одни девелоперы сами сволочи и сразу кладут малварь в сторе. Не знаю можно ли за это удалить их код. Это уже нужно всякие лицензии читать. А сажать за это можно? Вроде в СШП за спам тот же сажают...
2) Других девов хакают и вместо них них кладут вирусню.
3) Юзеры не хотят понимают что за предупреждения им выводят. Ну тут я не знаю, в принципе, имеют право. Из идей приходит в голову раскладывать внутри магазина софт по категориям и для каждой категории прописывать какие права у неё есть и если ты, сц%ко, скринсэйвер то и нефиг даже просить доступ к смскам. Короче сложно это...
4) Ещё какие-то смутные мысли о том, что девы должны подписывать софт и при установке подпись нужно проверять...
>> И закрытый код тупо проверяется на сигнатурыНе путай закрытый и платный. Платный код боится себя скомпрометировать. А открытый - ничем тебе не обязан. В принципе всё как и в реальном мире - есть деньги сними в хорошем районе - хошь бесплатно - готовься сходить в КВД :-)
> Не путай закрытый и платный. Платный код боится себя скомпрометировать.Прямо очень. А слежку за юзером эппл тоже из боязни встроил?
Любой телефон следит за твоим расположением. Это описано в стандарте GSM. Причем даже выключенный телефон ищется по базовым станциям. Big Brother watching you.
Ты физику-то учил в школе? Если телефон выключен, устройство не чего не излучает, как его можно отследить? А появляются такие слухи так. Приехал человек на рыбалку, выключил телефон, чтобы поклевку не испортить. Потом приезжает домой, а друзья говорят - ты был там-то в такое-то примерно время, у чела глаза на лоб - как это возможно??? А все дело в том что базовые станции ГСМ запоминают момент последней связи с устройством и кто-то из друзей у кого есть соответствующие знакомые навел у оператора справки... Вот так рождаются слухи что выключенный телефон отслеживается, конечно если этот телефон не побывал в "умелых" или не подцепил какого трояна, который периодически включал тел., но это уже совсем другая история...
Ты физику-то учил в школе? Если телефон выключен, устройство не чего не излучает, как его можно отследить? А появляются такие слухи так. Приехал человек на рыбалку, выключил телефон, чтобы поклевку не испортить. Потом приезжает домой, а друзья говорят - ты был там-то в такое-то примерно время, у чела глаза на лоб - как это возможно??? А все дело в том что базовые станции ГСМ запоминают момент последней связи с устройством и кто-то из друзей у кого есть соответствующие знакомые навел у оператора справки... Вот так рождаются слухи что выключенный телефон отслеживается, конечно если этот телефон не побывал в "умелых" ручках или не подцепил какого трояна, который периодически включал тел., но это уже совсем другая история...
> Ты физику-то учил в школе? Если телефон выключен, устройство не чего не
> излучает, как его можно отследить?Кто те сказал, что модем выключается? SMC всегда включено или ты думаешь, что сенсорные кнопки уже без питалова работают? Батарейку вынь - тогда только выключится, а так он продолжает отслеживать вышки.
>> Ты физику-то учил в школе? Если телефон выключен, устройство не чего не
>> излучает, как его можно отследить?
> Кто те сказал, что модем выключается? SMC всегда включено или ты думаешь,
> что сенсорные кнопки уже без питалова работают? Батарейку вынь -
> тогда только выключится, а так он продолжает отслеживать вышки.Ну что тебе еще сказать, что бы не обидеть, поднеси выключенный телефон к компьютерным колонкам что-ли и сделай тоже самое во время звонка и почуствуй разницу, а если он у тебя всё таки излучает в выключенном состоянии - следует задуматься... А для сенсонрных кнопок и для связи с базовой станцией сосем разная мощность нужна.
> Ну что тебе еще сказать, что бы не обидеть, поднеси выключенный телефон
> к компьютерным колонкам что-ли и сделай тоже самое во время звонкаРазницы нет :-) А вот разница между включениями между просто выключенным и выключенным со снятием батареи чего-то больше на минуту.
>>А для сенсонрных кнопок и для связи с базовой станцией сосем разная мощность нужна.
0,5 Вт/Ч для поддержки опроса.
> 0,5 Вт/Ч для поддержки опроса.После "Вт/Ч" можно даже не разговаривать. Понакупят дипломов...
>Понакупят дипломов...Аттестатов, блин, за неполное среднее :-(
Работу и мощность в 7-м, ЕМНИП, проходят.
>>Понакупят дипломов...
> Аттестатов, блин, за неполное среднее :-(
> Работу и мощность в 7-м, ЕМНИП, проходят.Киловатт-час единицо измерения, которую очень любят электрики,
причем очень удобная и более приближенная к людям нежели кг*(м/c^2)
Из 0.5 Вт*ч, видно что девайс имеет мощность 0.5 Ватт.
В каком месте вас проклинило? То что, дробь поставил? Вт/ч?
Так это постоянно, я даже в сурьёзной документации видел.
М-да... Реально понакупят. А потом они "сурьёзную документацию" пишут. Что множим, что делим - какая разница.Но к сути вопроса. Вт*ч - это уже энергия. И нигде в ее размерности (знакомо такое слово?) не указано, за какое время она будет потрачена. Так-же можно сказать, что 0.5 Вт*ч хватит, чтоб сливать инфу о координатах. Вопрос - насколько?
Еще момент. В выключенном состоянии 1. телефон разряжается намного меньше. 2. не "фонит" в колонках. 3. не фиксируется в сети GSM. Если кто-то может опровергнуть п.3, то тогда прошу уточнить, на какое именно сетевое оборудование попадает эта информация - спрошу у бывших коллег, они посмотрят вживую.
P.S. Вт*с=Джоуль=кг*(м^2/c^2)
> М-да... Реально понакупят. А потом они "сурьёзную документацию" пишут. Что множим, что
> делим - какая разница.Выражение: 1 кг +/- 0.005 кг, должно вызвать переполнение, и Bus Error в твоём мозгу. =)
> Но к сути вопроса. Вт*ч - это уже энергия.
> И нигде в ее размерности (знакомо такое слово?) не указано,
> за какое время она будет потрачена.Энергию нельзя потратить, это человеческая фантазия все додумывает.
Энергия, она как время, - её можно только отобразить в относительно
дискретном виде, и то на бумаге. А выражение - "энергия потраченная за время",
вообще анекдот. Слабо отлить сто Джоулей или выкурить пару электронвольт? :)Дж/c == Baтт, вот тебе и энергия в секунду.
>>> И закрытый код тупо проверяется на сигнатуры
> Не путай закрытый и платный. Платный код боится себя скомпрометировать. А открытый
> - ничем тебе не обязан. В принципе всё как и в
> реальном мире - есть деньги сними в хорошем районе - хошь
> бесплатно - готовься сходить в КВД :-)Скорее наоборот, больше похоже на секс. Хочешь чтобы было всё нормально - занимайся бесплатно с тем, кому доверяешь, хочешь легко и просто - купи за деньги, но готовься сходить в КВД =))
Покажи где в сам андройд (а не в стороннее приложение) всадили левый код.
> Покажи где в сам андройд (а не в стороннее приложение) всадили левый
> код.А его всадили именно в приложение? И выполняет его приложение а не ядро? Или этот код вообще выполняется на Великом Небесном Сервере в вакууме?
По существу есть что сказать?
Ядро выполняет все что ему дадут. Оно не обязано знать, что "вот этому приложению" на самом деле нельзя посылать смс'ки. Таким контролем должен заниматься в данном случае далвик/жаба, хотя бы в форме наблюдения за апи в плане невозможности задействования функций без хотя бы предупреждения о их наличии в приложении. А вот он (далвик) как раз к ядру имеет опосредованное отношение. Не спорю - в андройде масса недочетов, но только вот с ядром линуха они никак не связаны. И СПО тут довольно сомнительно приплетено. Ты же не скажешь что двигатель - говно потому, что тебе гопота шины проколола.И таки да - код всадили в приложение, но ты же не читаешь новости, только пишешь и вбросы делаешь. На ЛОР или на цнюз - там таких масса.
> Ядро выполняет все что ему дадут. Оно не обязано знать, что "вот
> этому приложению" на самом деле нельзя посылать смс'ки....Фигасебе откровение! А чеж тогда винду столько лет вдоль и поперек поливают что она глючная и дырявая? Если держать голую винду только с майкрософтовским софтом, делать автоматом апдейты (в линях ведь тоже апдейты надо каждый день делать), правильно настроить учетки и права доступа, и хрен тогда кто взломает и хрен вирус поймаешь, все это на своем многолетнем опыте.
А то поставит юный падаван зверь-сиди уже с троянами, сидит под админом без апдейтов по несколько месяцев, ставит софт от балды, а потом поймав виря начинает орать какая винды глючная, а почитав форумов становится красноглазиком и с ЛОРа не вылазит.
Так что уязвимость систем ко всякой нечисти дело не имеющее отношение к системе. Это проблема скорее социальная. Пока систему использует группа профессионалов - она надежна. Но как только система приобретает массовость, приходят миллионы хомячков с кривыми руками и отсутствием мозга, а под них ради удобства, или в силу того что они не могут освоить принципы безопасной работы, или для более быстрого распространения системы, в угоду простоте снижается планка безопасности. Windows и Linux имеют очень навороченные инструменты обеспечения безопасности, в Windows даже местами поширше будет, но в винде (до Windows Vista) сразу все разрешено под рутом, а вот Linux бьет по рукам. В итоге Linux сложен в освоении и не популярен, зато менее уязвим, Windows распространен, но - вири, трояны и пр. Через некоторое время у самого популярного Linux дистрибутива Ubuntu при сохранении политики каноникла будут те же самые проблемы как и у винды не смотря на то что это линукс. Тут вопрос: как найти золотую середину между простотой и безопасностью?
> Это проблема скорее социальная.ну так и вилкой можно зарезать
> но в винде (до Windows Vista) сразу все разрешено под рутом, а вот Linux бьет по рукам
ты кроме убунты что-нибудь видел?
а вообще - так оно и есть. граната сама не взрывается, но вот в руках у обезьяны может спокойно. другое дело, что сама граната тут не при чём зачастую, если не испорчена;)
Не знаю что и где ктото поливает, но ботнеты они под вендой плодятся, вот и все факты на сей момент.
примеры ботнетов из роутеров под управлением Linux сам вспомнишь или назвать ?
Так что плодятся легко и непринужденно.
Да никто не говорит, что от вирусов спасает волшебное слово Linux (точнее GNU/Linux, т.к. на примере Андройда мы видим, что просто Linux не спасает). И да во всех Линуксах (даже Убунту) не приветствуется работа под рутом. А Винду гнобят за то что там рут^W Админ по умолчанию, апдэйты выходят не всегда своевременно и она прямо таки провоцирует ставить софт с хрен знает какой помойки (по крайней мере за это ругают вменяемые люди).Ботнеты роутеров говорите? Я не на 100% в теме, но есть подозрение, что на этих роутерах не меняли заводской пароль. Ну так и что тут удивительного?
> примеры ботнетов из роутеров под управлением Linux сам вспомнишь или назвать ?
> Так что плодятся легко и непринужденно.Наличие таких ботнетов на роутерах не влияет на процент пользования линуксом как десктоп-системой, а влияют на уменьшения продаж роутеров конкретного производителя.
Мы обсуждаем линукс на десктопах(кпк, смартфоны тоже сюда входят). Потому что с линуксом на серверах уже давно всё ясно.
А приложения то многие закрытые под Android. Хороший специалист может внести изменения в любой бинарь. И сигнатуры тоже не гарантия безопасности. Поинтересуйтесь, как исхитряются вирмейкеры для обхода проверки по сигнатурам. И наконец, кто сказал, что автор блоба сам не засунул в него мерзкого трояна? А потом своё проприетарное ПО снабдил нужной сигнатурой? Ведь очень часто так и делают. Ели бэкдор построен в проге грамотно, то долгое время никто ничего не заподозрит. Многие производители даже вполне раскрученного ПО именно так и делают.
>>Вредоносный код в такие программы может быть внедрен путем перехвата параметров аутентификации разработчиков или взлома их машин.Неужели разработчики сидят на дырявых форточках? Или ведутся на фишерские атаки? Пользуются открытыми сетями Wi-Fi, откуда снифферы их пароли выхватывают? Что же это за разработчики такие бестолковые?
Кажется, нам чего-то не договаривают.
> Неужели разработчики сидят на дырявых форточках? Или ведутся на фишерские атаки?Скорее, они втюхивают малварь, а потом чтобы не получить в бубен отмазываются что это все не они а хакеры, понимаешь.
>> Неужели разработчики сидят на дырявых форточках? Или ведутся на фишерские атаки?
> Скорее, они втюхивают малварь, а потом чтобы не получить в бубен отмазываются
> что это все не они а хакеры, понимаешь.Так и делают:)
Интересно почему гугловцы не сделают хотя бы несколько разделов в своем магазине. Например как организованы различные репы репы во многих дистрибутивах. Это же проверено временем. В одном разделе приложения проверенные и хорошо протестированные, в другом "на свой страх и риск" без гарантий. Всегда формируется список самых хороших и популярных приложений их надо переносить в "stable" раздел, сопровождать и т.д. Словом, давно известные вещи. Ну в каком дистрибутиве почти кто угодно может поставить любое приложение в репозитарий?
> Интересно почему гугловцы не сделают хотя бы несколько разделов в своем магазине.
> Например как организованы различные репы репы во многих дистрибутивах. Это же
> проверено временем. В одном разделе приложения проверенные и хорошо протестированные,
> в другом "на свой страх и риск" без гарантий. Всегда формируется
> список самых хороших и популярных приложений их надо переносить в "stable"
> раздел, сопровождать и т.д. Словом, давно известные вещи. Ну в каком
> дистрибутиве почти кто угодно может поставить любое приложение в репозитарий?Нельзя забывать что андроид делается для масс. Про разделение реп ты понимаешь, я понимаю, и еще несколько тысяч, а телефоны покупают миллионы. Гламурному Кисо сложно объяснить зачем нужны такие сложности, оно придет в магазин и хлопая глазами скажет: "Мне не надо на андроиде, мне подружка сказала что там так все запутано, даже программу нормально не установить, дайте мне .... (на чем там еще есть)".
Смех. В висте и семерке теперь UAC. Вроде призван для того, чтобы юзер думал о безопасности, но на деле, те кто в безопасности понимает выключают нахрен этот UAC, а те кто нихрена не понимает, сначала пугаются, а потом привыкнув просто тыкают ОК не думая и не читая что ему пишут, у простых юзеров эта фича только раздражение вызывает.
Так а антивирусов что ли нет таких, которые бы это блокировали?
> Так а антивирусов что ли нет таких, которые бы это блокировали?А много ли антивирусов винду блокируют, или Skype? А ведь по сути это тоже трояны:) Передают личные данные и т.п. и т.д.
>11 приложений без спроса пользователя отправляли SMS на другие номеракак же без спроса? А при установке почитать, какие пермишены требует программа уже слабо?
Действительно удивлён, что разработчикам настолько наплевать на защиту своих репозиториев, компьютеров и тп, что об этом даже пишут в новостях.А то, что пользователи ССЗБ, давно пора бы с этим смирится.