The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.06.2010 16:12  Официально вышел Android 2.2. Анализ угроз при использовании каталога Android Market

Компания Google официально выпустила релиз мобильной платформы Android 2.2 и опубликовала все связанные с ними исходные тексты. Из особенностей новой версии можно отметить реализацию значительно увеличивающего производительность приложений JIT-компилятора, обновление встроенного web-браузера, добавление возможности выбора типа носителя для установки программ (SD-карта или встроенный Flash), улучшение мультимедиа функций, переход на Linux ядро 2.6.32, добавление возможности по обмену данными через Bluetooth, поддержку работы телефона в виде модема и другие возможности, прочитать о которых можно в тексте анонса Android SDK 2.2, опубликованного в прошлом месяце.

Прошивка Android 2.2 доступна со вчерашнего дня через автоматические средства обновления для телефонов Nexus One, основанных на платформе Android 2.1. Возможность свободного использования Android 2.2 также теперь доступна для OEM-производителей, готовящих к выпуску новые модели телефонов или планирующих подготовить обновление для уже выпущенных устройств. Особый интерес вызывает статистика взрывного роста популярности платформы, если месяц назад в среднем ежедневно пользователями активировалось около 100 тыс. новых телефонов, то сейчас этот показатель вырос до 160 тысяч.

Кроме добавленных в Android 2.2 пользовательских улучшений, за кадром осталось несколько существенных изменений в процессе разработки платформы. Исходные тексты Android 2.2 подверглись реструктуризации, разделения на модули и более жесткого разграничения связанного с платформой закрытого и свободного ПО. Исходные тексты подверглись чистке, особенно в плане удаления непреднамеренной зависимости некоторых частей системы от закрытых компонентов. Переработке также подверглась система сборки, в основную кодовую базу интегрированы все необходимые для сборки собственными силами конфигурационные файлы. Предпринятые улучшения значительно упрощают процесс создания собственных полностью свободных сборок Android и адаптации программной платформы для новых аппаратных устройств. Отныне любой энтузиаст, загрузив исходные тексты с сайта и запустив несколько команд, может собрать Android для эмулятора или одного из базовых целевых устройств (Dream/ADP1, Sapphire/ADP2 и Passion/Nexus One).

Судя по приведенным в анонсе данным, при подготовке Android 2.2 в кодовую базу проекта было принято несколько сотен изменений, подготовленных сторонними разработчиками не связанными с компанией Google. Кроме индивидуальных энтузиастов к разработке подключилось более двадцати компаний. Общее число зарегистрированных на сервере рецензирования кода разработчиков превысило отметку в 4 тысячи участников, при этом в среднем от каждого разработчика получено по два патча.

Компания Google не осталась в долгу и открыла несколько связанных с поддержкой аппаратного обеспечения библиотек, ранее распространяемых только в закрытом виде (например, открыт код поддержки мультимедиа возможностей чипсетов Qualcomm). Также компания Google ускорила процесс проверки присылаемых патчей, если раньше подтверждения приходилось ждать несколько недель, то теперь такая проверка занимает не более нескольких дней. По статистике компании из всех присланных изменений 80% были приняты в основной репозиторий проекта и затем вошли в официальный релиз. Google также подчеркивает, что все связанные с разработкой инструменты, такие как Eclipse-плагин для разработки приложений, эмулятор платформы и другие части SDK, разрабатываются не за закрытыми дверями, а в полном соответствии с принципами открытого ПО, что позволяет разработчикам прикладного ПО участвовать в улучшении инструментов для его создания.

Анализ угроз при использовании каталога Android Market

В заключение, хотелось бы упомянуть несколько неприятных моментов. Продолжая тему возможного появления в каталоге Android Market троянских приложений, направленных на выполнение корыстных или злонамеренных действий, компания SMobile Systems провела анализ более 48 тыс. представленных в каталоге программ. Результаты оказались неутешительными.

При установке новых программ, при использовании в приложении расширенных возможностей, таких как осуществление звонков, доступ к личной информации пользователя, выполнение сетевых операций или отправка СМС, инсталлятор требует от пользователя подтвердить обоснованность установки такого приложения. Многие пользователи телефонов на базе Android не раз замечали, что очень часто программы требуют для своего выполнения функций, не свойственных их назначению. Например, программа для принудительного завершения задач, может потребовать включения для нее функций отправки SMS и обращения к внешним сетевым ресурсам. Часто такое поведение вполне документировано, например, доступ к сети нужен для организации показа рекламы.

По статистике SMobile Systems 20% из всех представленных в Android Market программ требуют для своей работы открытия доступа к персональным или по умолчанию закрытым данным. В 5% из всех представленных в каталоге программ требуется включение возможности инициирования телефонных звонков на любой номер без участия пользователя, 2% процента программ запрашивают возможность автоматизированной отправки SMS. Насколько такая необходимость оправдана в приведенной статистике не упоминается, с одной стороны для программы по управлению адресной книгой доступ к персональной информации вполне приемлем, но с другой стороны, часто такие данные приложение запрашивает без прямой необходимости.

Компания Google отреагировала на представленную информацию сообщением в котором утверждается, что отныне будет введена практика жесткого удаления из каталога Android Market всех программ, нарушающих регламент сервиса или заподозренных в выполнении нечистоплотных операций. Более того, сообщается, что при необходимости Google может прибегнуть к уже разработанной технологии удаленного блокирования приложений, установленных на телефонах конечных пользователей, если такие приложения содержат злонамеренные функции. Отдельно подчеркивается, что удаление не будет производиться молча, после удаления пользователю будет выведено соответствующее уведомление.

Первыми удаленно стертыми программами стали два безвредных приложения, специально внедренных сторонними исследователями безопасности в Android Market с целью анализа возможности распространения вредоносного ПО через каналы доставки программ на телефоны. Так как разработчики данных программ по собственной инициативе уже удалили их из каталога, а программы нарушают правила Android Market и не реализуют изначально заявленные функции, компания Google приняла решение инициировать удаление данных программ c телефонов пользователей.

  1. Главная ссылка к новости (http://android-developers.blog...)
  2. OpenNews: Анонсирована мобильная платформа Android 2.2
  3. OpenNews: Компания Google наймет двух разработчиков для работы над поддержкой Android в Linux-ядре
  4. OpenNews: В США смартфоны на базе Android обогнали по числу продаж iPhone
  5. OpenNews: Для платформы Android представлен прототип руткита
  6. OpenNews: Продемонстрирован пример создания ботнета на базе Google Android
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: android
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, edo, 19:35, 24/06/2010 [ответить] [смотреть все]
  • +/
    у меня есть китайский нетбук на процессоре VIA WM8505, для которого последняя опубликованная версия android - 1.6.

    проблема в том, что есть только бинарник ядра, притом не самой свежей версии (2.6.29). мне хочется получить исходники ядра, адаптированные под эту платформу.
    насколько я понимаю, по GPL я имею на это полное право.

    у кого мне спрашивать эти исходники? у гугля? у via? у китайских продацов?

    ps: сам android мне не нужен, я использую только его ядро для запуска обычного debian.
    http://bento-linux.org/wiki/vt8505/wm8505/debian

     
     
  • 2.4, Аноним, 20:02, 24/06/2010 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    http android git kernel org http source android com source download html ht... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, edo, 20:11, 24/06/2010 [^] [ответить] [смотреть все]  
  • +/
    там нет исходников ядра для wm8505
     
     
  • 4.13, Filosof, 01:15, 25/06/2010 [^] [ответить] [смотреть все]  
  • +/
    Если я не ошибаюсь, то этот процессор - весьма тривальный арм Тож я б рекомендо... весь текст скрыт [показать]
     
     
  • 5.16, edo, 10:18, 25/06/2010 [^] [ответить] [смотреть все]  
  • +/
    в userspace именно debian под arm и работает ядро же от android а насчёт того,... весь текст скрыт [показать]
     
  • 2.8, Alexey, 20:12, 24/06/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У китайских продавцов, но будьте готовы получить шиш с маслом 1 у продавцов мо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, edo, 20:22, 24/06/2010 [^] [ответить] [смотреть все]  
  • +/
    шиш с маслом я получу совершенно по другой причине - у них нет исходников они п... весь текст скрыт [показать]
     
  • 1.2, User294, 19:52, 24/06/2010 [ответить] [смотреть все]  
  • –7 +/
    Все круто, вот только это само по себе разве не злонамеренная функция Ах ну да,... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 20:05, 24/06/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А до конца почему абзац почему не отквотили, смысл получается совсем другой Уда... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, User294, 21:45, 24/06/2010 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну вообще да, с ручным подтверждением это менее злобно чем у эппла, но в целом -... весь текст скрыт [показать]
     
     
  • 4.12, Andrew, 23:34, 24/06/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    > Вон в линуксных репах нет троянов просто сразу.

    А между тем прецеденты уже имеются...

     
     
  • 5.14, User294, 01:42, 25/06/2010 [^] [ответить] [смотреть все]  
  • –4 +/
    Угу, а еще - у вас две руки и две ноги и голова на месте И ножик наверное на ку... весь текст скрыт [показать]
     
     
  • 6.20, аноним, 18:44, 26/06/2010 [^] [ответить] [смотреть все]  
  • +/
    товарищ тролль вы бы почитали с открытыми глазами про критерии по которым софт ... весь текст скрыт [показать]
     
  • 4.15, Ян Злобин, 03:14, 25/06/2010 [^] [ответить] [смотреть все]  
  • +/
    >И вообще, а может быть, просто не стоило раздавать троянизированного говно изначально, вместо того чтобы последствия лечить?

    Не надо истерии - поняли свою ошибку, открыли исходники - все идет очень неплохо.  Кроме того, надо же понимать, что платформа еще молодая, для Гугля дело новое.  Все образуется.

     
  • 3.17, К.О., 12:04, 25/06/2010 [^] [ответить] [смотреть все]  
  • +/
    Apple покрайней мере не блочит приложения удалённо у пользователей.
     
  • 1.3, Святоша, 19:57, 24/06/2010 [ответить] [смотреть все]  
  • +/
    Хм... интересно, а это повлияет на реализацию мечты найти когда-нибудь прошивку для HTC Touch Viva содержащую Android? Для него и обновления родного-то ПО не видать. А так хотелось бы, чтобы присутствующие в нем функции наконец-то заработали адекватно.
     
     
  • 2.6, VyacheslavS, 20:11, 24/06/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    >найти когда-нибудь прошивку для HTC Touch Viva

    Ищи, спрашивай тут (> Android > Android - разработка и программирование > Портирование Android OS):
    http://4pda.ru/forum/index.php?showforum=214

     
  • 2.9, VyacheslavS, 20:16, 24/06/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Похоже твоя мечта стала явью (HTC Touch Viva - Android OS):
    http://4pda.ru/forum/index.php?showtopic=102783&hl=Viva
     
  • 1.21, Gambler, 21:41, 26/06/2010 [ответить] [смотреть все]  
  • +/
    Сейчас прибежит какой-нибудь великий программист и начнет заливать, что если при установке спрашивается разрешение на использование ресурсов, то во всем виноваты идиоты-пользователи, которые его дали.

    Тем временем опыт показывает, что если хапание прав ничего не стоит, то приложения стараются захапать как можно больше прав, даже если они приложениям не нужны.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor