"Veszélyesnek látszó Android-sebezhetőséget találtak"

mondjuk az kérdéses, hogy az amazon változatáért, vagy az egyebekért mennyiben felelős a google. ők tulajdonképpen konkurensek.

Nagy igazság. :)
Mindenki addig húzza a javításba ölt energia befektetést és a publikus önlejáratást, hiba felvállalást, amíg hagyja a környezete. Még kibírt volna ez is egy jó 5-10 évet, ha valaki nem szellőzteti meg.

Igazság szerint nem tudjuk hogy a google hány nap alatt javította. Csak azt, hogy "...disclosed through Bluebox Security’s close relationship with Google in February 2013. It’s up to device manufacturers to produce and release firmware updates for mobile devices...". Az a gáz, hogy pár nyomorék gyártó - mint pl. a Motorola - régen is tojt a frissítésekre és manapság is hasonlóképpen viselkedik. Rém kíváncsi vagyok hogy pl. a Cyanogenmod és tsai milyen gyorsan reagálnak, azaz végül is biztonságosabb-e főzött ROM-ot használni mint gyárit.

Amit találtam még: "Google is already said to have patched its Play Store, and it’s now apparently able to recognize app updates that try to take advantage of the flaw." http://siliconangle.com/blog/2013/07/04/android-security-flaw-puts-99-o… (v.ö.: varezjancsik).

CT: pár napja (talán egy hete?) történt hogy a telefonom egy rakat beállítást (háttérkép, billentyűzetbeállítások, ilyesmik) elfelejtett. Ilyen akkor szokott lenni, ha (nagy) frissítés érkezik a telefonra (OTA upgrade). Ugyan nem hiszem hogy a nagyszerű Motorola fű alatt telepített volna bármit is, de talán más is meg tudja erősíteni avagy cáfolni ezt a jelenséget (amennyire a telefonról meg lehet állapítani, Április óta nem változott a firmware).

:D ++;

Annyiban nem, hogy a zombihálózat bevételéből semmilyen módon nem részesülsz, míg a Google-nek használhatod a szolgáltatásait.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Elvileg igen.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Az .apk egy sima tomoritett zip (vagy JAR, ahogy egy csomo helyen hasznaljak, pl. az OO.o/LO is zip-be csomagolt xml-eket hasznal).

Ahhoz, hogy az ARM konnyebben meg tudja emeszteni, miutan a leforditott java kodot, resource-okat meg mindenfele leirot osszecsomagolta a dev. kornyezet, egy zipalign nevu tool-lal 32 bites hatarra igazitja a zip-en beluli file-okat. Ezutan a sima Sun/Oracle-fele Java SDK-ban talalhato jarsigner nevu programmal alairja a kapott zipet/apk-t (ha belenezel, a META-INF konyvtaron belul lathatod).
Ezt ettol kezdve fel tudod telepiteni a kutyure (ha a 3rd party alkalmazasokat engedelyezted), vagy VM-be. Ha megnyomkodtad, es kb. mukodik, akkor mehet fel a Playre (felhasznaloi tapasztalatom szerint a legtobb fejleszto meg a nyomkodasos lepest is kihagyja, mert majd a userek ugyis kiabalnak ha valami nem megy :-/ ).

A jarsigner SHA-1-et hasznal hash szamitasra (MD5 is hasznalhato (nem ajanlott)), az alairas meg RSA-val megy (vagy DSA-val). Ezeket azert nehez brute-force-olni, foleg, hogy file-onkent megy a hash (ha tobbet is modositanal, a tobb macera).

Ha egy .apk-bol kiirtod az eredeti alairast, es ujra alairod a sajatoddal, akkor feltelepitheto. Kiveve, ha a csomag mar fent van a kutyun egy masik alairassal, mert olyankor szol. Nem tudom, hogy az alairasra van-e plusz korlatozas a Play oldalan is, ezt a reszet nem ismerem, de azert viszonylag ertelmes modon kitalaltak a dolgot (illetve atvettek a Javabol).

Mindenesetre ha modositasz egy nepszeru apk-t, kiirtod az eredeti alairast, beleteszed a trojaidat, alairod a sajat alairasoddal, es felteszed egy nepszeru torrentoldalra, akkor a letoltok fel tudjak telepitneni (ha engedelyezve van a 3rd party telepites).

Nem tudom erre gondolt-e a Bluebox Labs, egyelore nagy a titkolozas korulotte, en meg meg nem jartam utana.

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell