QuadRooter - több mint 900 millió Android eszközt érint a sebezhetőségcsomag

Android

Quadrooter
QuadRooter Scanner egy naprakész OnePlus 3-on (OxygenOS 3.2.2 - Android security patch level: 1 July 2016)

QuadRooter a neve annak a "csomagnak", amelyben 4 frissen felfedezett kritikus Android sebezhetőség (CVE-2016-2059, CVE-2016-2504, CVE-2016-2503, CVE-2016-5340) található. A sebezhetőségeket felfedező Check Point szakember, Adam Donenfeld vasárnap tartott előadást a részletekről a Def Con biztonsági konferencián:

Qualcomm, a supplier of 80% of the chipsets in the Android ecosystem, has almost as much effect on Android’s security as Google. With this in mind, we decided to examine Qualcomm’s code in Android devices. During our research, we found multiple privilege escalation vulnerabilities in multiple subsystems introduced by Qualcomm to all its Android devices in multiple different subsystems.

A sebezhetőségek az Android ökoszisztéma chipsetjei 80%-át szállító Qualcomm-tól származnak. A 4 sebezhetőség javításai egy híján elkészültek, azokat a Google már kiadta Android Security Bulletin-jeivel együtt kiadott frissítéseiben. A maradék egy sebezhetőség javítása viszont várhatóan csak a szeptemberi bulletin kiadásával egy időben kerül majd javításra.

Az androidos készülékek érintettségét ellenőrizni lehet a Check Point által kiadott "Quadrooter Scanner" alkalmazással, amely telepíthető a Play Store-ból.

Részletek itt.

( AlexC | 2016. 08. 08., h – 09:57 )

Samsung Galaxy S6 not affected, Exynos CPU :) <3

( dejo v | 2016. 08. 08., h – 10:00 )

"Your device is not affected by QuadRooter vulnerabilities."
Mindez egy Homtom HT6, a legutóbbi frissítés van rajta: R17-20160513.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( AlexC | 2016. 08. 08., h – 10:02 )

1 elonye volt ennek a hirnek, megneztem van-e frissites a telefonomra, es lam maris telepul 370 MB update :>

( freeoli v | 2016. 08. 08., h – 11:36 )

"Google már kiadta Android Security Bulletin-jeivel együtt kiadott frissítéseiben"

Hát ezen sírok :D Felírta egy papírra és kiragasztotta a folyosóra. Mimkor fog ez védeni bárkit is? ... jaa, hogy, majd évek múlva, hát igen ...

Számos ilyen van. Ott a OnePlus. Júliusban a júliusi patchlevel-en volt. Az augusztusi bulletin-t most - a relevánsat 5-én - adták ki.

4-ből egy sebezhetőségben nem érintett. Az augusztusiban kettőt javítottak. Ha azt leköveti, akkor marad az egy, amit szeptemberben fognak javítani.

Több kínai gyártó is van, ami gyorsan követi az AOSP kódbázist. Lehet válogatni.

Most néztem meg egy OnePlus One-t. Augusztus 1-i security pachlevel-en van. Egy Samsung S7 pedig a júliusin.

Ja és ez a Qualcomm sara. Gyanítom, hogy bármelyik ilyen gyártó kódját nekiállna auditálni a Check Point, potyognának a csontvázak a szekrényből. A többinek a szerencséje, hogy éppen most nem ők kerültek sorra. Hogy miért éppen a Qualcomm-ot nézték meg? A reklám miatt. Nyilván azt nézik meg, amiből lehet utána "80% érintett" bejelentést csinálni.

--
trey @ gépház

Köszönöm. Tudom, hogy OnePlus és tudom, hogy Wileyfox, de nagyjából ezzel vége a CM és OxygenOS körének és vége a tényleges frissítésnek és sajnos ezek is rétegmodellek. Igaz, hogy a Nexsuok is még itt lehetnek de a Wileyfox-ot leszámítva csúcsáron árul csúcs réltegmodellekről beszélünk amiket egyetlen vállalat sem használ és annál kevesebb magánember.

Engem nem érint szerencsére, de a legnagyobb gyártók tesztnek a legjobban a frissítések kiadására amivel kapcsolatban természetesen minden felelősséget a vásárlóra hárítanak miközben a telefonok zárva vannak az utólagos fw csere előtt.

Gyakorlatilag az androidos felhasználóknál lévő qualcomm soc-al szerelt telefonok rendelkező 95%-a örökre sebezhető, marad amint csak a beolvasztás fog segíteni.

Tudom, hogy mind a gyártók mind a google hibás a kialakult helyzetben, de majd egy nagyobb feltörés és kártérítési per ezen segíteni fog. Segített az íklud brute force :D LOL pwd hack javításán is ... de gondolom kicsit sem olcsón.

Akkor sem nyugszom meg ettől. Én tudok választani, mert tudom, hogy miért kell olyan eszközt választani amire van támogatás, update, stb. De én a társadalom apró pici részaránya vagyok.

Egyébként Microsoft telefont használok. Ez is lehet a szálban a vicc másik tárgya de eddig megfelelő számomra, folyamatosan fejlődő rendszer, vagyis olyan mint a tamagocsi, töltöm, netet adok és csak úgy jönnek az új funkciók hétről hétre. Valamint van rá induláskor garantált 36 hó sw követés.

Ha már andorid és sok pénzért akkor most nem tudok mást elképzelni mint a BB DTEK50 (Exp. release 2016, August 8)

Sose érdekelt, hogy mit használ a társadalom. A "Mimkor fog ez védeni bárkit is? ... jaa, hogy, majd évek múlva, hát igen ..." kijelentést éreztem egy kicsit erősnek.

Az, hogy a Microsoft telefonokhoz nem érkeznek ilyen hírek, nem feltétlen azt jelentik, hogy azokkal ne lenne probléma, inkább azt, hogy a biztonsággal foglalkozó cégeknek, embereknek nem éri el az ingerküszöbét, hogy foglalkozzanak vele.

--
trey @ gépház

Oké, igaz, nem nekem kellene ezzel foglalkoznom, majd ha szamszung meg szoni szemetek tömegéről kerülnek a netre privát fotok és perelik a csőd szélére őket talán fog valami változni. Ha nem a törvényhozás, akkor az élet megoldja.

Jogos, azt nem vizsgálják ennyire mert miért is, de arra ha kijönne egy ilyen hiba a frissítés is megérkezhetne. Igaz, ott egy gyártó XX készüléke van összesen.

Én azt nem értem, hogy az Android készülékek nem hetek óta vannak a piacon. Lassan 10 éve. Tudjuk, hogy a nagy részük egy rakás szemét, mert kell az olcsó telefon. Értem azt is, hogy a NLCafe és társai oldalak látogatói nem biztos, hogy képben vannak ezzel. De hogy itt a HUP-on még mindig kell magyarázni, hogy "olcsó húsnak híg a leve", az számomra kicsit furcsa.

130 ezer forint körül lehet kapni alu unibody házas, 6GB RAM-os, 64 GB tárterületes, 5,5 hüvelykes, villámgyors készüléket. Min gondolkozunk még? Én volt, hogy ennek a dupláját adtam egy szar iPhone-ért és fikarcnyival sem volt jobb.

BTW: akinek nincs pénze... Egy új OnePlus One 60 ezer. Mai napig villámgyors. 2 éves, de a hétvégén is jött rá frissítés, napi szinten van biztonságban. Ha megszűnik a támogatása, ott a CyanogenMod rá. Azt sem fogadom el, hogy valakinek nincs pénze. 60K semmi egy okostelefonért.

--
trey @ gépház

A mobilos MSFT elmehet a búspicsába! Az idelátogató 2 mo-i alkalmazottjuk most nézzen máshová!

A Wp8-as telefonok nagy reszét úgy otthagyták a szarban, h. öröm volt nézni. 36 hónap, az mi? 2014 decemberi a legutolsó update amit a 8.0-sok megkaptak ha az akkori béta programban voltak. Aki abba nem lépett be, az meg kb. 2014 augusztusin rekedt. Gyors matek: Nokia 920 kijött 2012 szeptemberben, én vettem 2013 januárban. 2012 szept, +36 hónap az = 2015 szeptember. Ehhez képest 2014 dec / aug az lófasz! Plusz sok modell bőven 2012 szept után jött ki és ugyanúgy ment a levesbe. Amikor az ementáli fos asztali IE-hez havonta jön a remote code execute folt, mobilon meg fut 1,5-2 éves foltozatlan browser a wp8-as 520-530 lumiák millióin. MSFT: rohadjon rátok a raktárkészletes eladhatatlan 950/xl, megérdemlitek!

--
WP8.x kritika: http://goo.gl/udShvC

Én már annak is örülnék ha a wp10-et és főleg rajta az alkalmazásokat végre megcsinálnák rendesen :D :D :D Mert k. jó a két heti/havi update rá, csak valahogy nem akar jobb lenni.
Az, hogy az időképet elindítva spontán újra indul a telefon, hogy a facebook alkalmazás csúnyán buta, ráadásul rendszeresen nem tölt be tartalmakat ha értesítésre kattintva nyílik, az edge-ben sem tudsz komolyan webezni, mert villogni kezd a képernyő, és végül üres fehér böngésző ablakot kapsz, és sorolhatnám estig a hibalistát :D És igen, a 8.x gyakorlatilag elpusztult, arra már a kutya nem fejleszt, még a gyártója sem. A wp10 láthatóan nem jó 2GB ram alatt (L735 és az alkalmazások bizony bezáródnak, láthatóan szétzabálják a vasat), nem csodálom, hogy gyakorlatilag elpusztult a platform fél év alatt, mert ez történt. Futottak még kategória csúnyán a decemberi bejelentések (950/XL és társai) után. Gyakorlatilag halott, és méltán. :D :D :D

-[Lenovo y510p SLI]-

Az, hogy letisztult, nem agyon bonyolított rendszerről van szó, ami natív OS, kisebb hardveren is nagyon stabilan és gyorsan teljesített, nem kezdett el "da-do-gni" 1GB memóriával sem. Teljesen stabil és zárt rendszer, amiben nem fordult elő, hogy frissült a face, vagy viber, vagy más, és "vegyél másik telefont, ennek a hardvere kevés a frissítésnek".
És ez igaz is volt a 8.x szériára. Átgondolt, ügyes platform volt, az másik kérdés, hogy a csempés felületét nekem elég nehéz volt megszokni, és nem is szeretem, de flottul működött.
Nagyon frankón tudta amit vállalt. Namost erre jött a w10-es frissítés és gyakorlatilag majdnem az összes olyan dolgot sikerült gallyra vágni ami miatt ezt választottam! A here+ navigáció nekem fényesen bevált, a windows térképek navigáció rendszeresen elvisz a hajmeresztő útvonalakra. (érdre mentem, hiába mondtam neki, hogy 6-os út, elvitt kamaraerődnek tekeregtem mint fing a gatyában)
Az OS néha olyan bugokat generál, hogy csak lesek, aztán jön az update (amit ki sem tudsz kapcsolni már :o) és megoldja, de csinál mást. A rendszer lassúbb mint a 8.x, az alkalmazások jócskán lemaradva a droidos mögött. (üdítő kivétel a viber az fejlődik, ellenben 8-on egy bug miatt el sem indul a support meg közölte, hogy a 8-ra már nem fejlesztik, szóval javítást ne is várjak)
alkalmazások bezáródnak, (spontán) messengerben nem tudsz képet beszúrni ha 20+ képt kell átpörgetni mert elszáll az egész, időkép nekem szétcsapja a képet és kézzel indítod újra a telót ha nem épp újraindítja magát, bejövő hívásról már maradtam le, kihangosítás vagy működik vagy nem, automatikus kép feltöltés vagy működik vagy nem. Nem ezért választottam a WP-t.
Ami működik tényleg wp8 az gyakorlatilag halott platform, a 10 meg még mindig jóindulattal is beta, az alkamazások rá dettó. A skype új előzetes verziója most frissült rajta, az meglepően jó lett végre.

Egyszóval: amikor szavaztunk rá egy k. jó platform volt a gyerekbetegségei ellenére, és nem véletlen kúszott fel a 10% környékére (pár országban fölé) a részesedés, aztán kiadták a 950-es szériát, meg a wp10-et és gyakorlatilag lenullázták az egészet fél év alatt :)
Elqrták, nem kicsit nagyon...

-[Lenovo y510p SLI]-

OnePlus OxygenOS sajnos NEM frissül rendesen. OnePlus Two most is csak júniusi (!!!) patch levelen van. Ezért (is) gáz már a OnePlus. Vagy nightly CM frissítéseket lehet tenni rá az OxygenOS helyett annak minden kockázatával (One-on volt, amikor teljesen hazavágta a rendszert, vissza is vonták, de addigra aki frissített megszívta, szóval a nightly nem normál használatú készülékre való).
Wileyfox OK, azon amit láttam júliusi volt egy hete a patch level, ahogy MIUI-n is.
--
Slapic

Tavaly még az OP2 volt a flagship (szerk: sőt, még mondjuk 3 hónappal ezelőtt is), most meg arról beszélünk, hogy le van maradva frissítéssel. Ez lesz sajnos az OP3 sorsa is: egy darabig pörgetik, aztán elkezdenek dolgozni a 4-esen, onnantól nem jut erőforrás a többi karbantartására. Ennek ellenére OP3-mat tervezek venni, de ha nem lenne rá CM, akkor eszembe sem jutna.

A 2,5 éves nexus5-ömön így néz ki QuadRooter check. Tegnapi CM nightly. (szerk: bár lehet, hogy ez nem a CM érdeme, hanem egyszerűen nem mindegyik sebezhetőség érintette a N5-öt)

Szerinted. Pedig a OP2 volt a naaaagy "flagship killer" flagship. Még szerintük is.

Az OPO meg kakukktojás. Annak azért jó a támogatottsága, mert nem a saját oxygen tákolmányuk volt/van rajta, hanem a Cyanogan Inc adta hozzá az OS-t. A saját OS-ükkel úgy küzdenek kezdettől fogva, mint malac a jégen.
Az OPX meg valóban nem flagship volt, de arra is illene a biztonsági frissítéseket kiadni. pláne miután volt pofájuk egy kb alfa állapotú oxygenOS-el kiadni. Most pár napja jött egyébként egy frissítés (még mindig nem 6-os android, pedig első negyedévre ígérték), de ezelőtt áprilisi(!) volt az utolsó update. Mindezt úgy, hogy összesen 3 készülékük (most már 4) volt, ebből pedig csak kettő az (OP2 és X), amin a saját Oxygen OS-ük fut. Ezt a kettőt nem voltak képesek karbantartani rendesen. Csak ezért tartok tőlük, a készülékeik egyébként nagyszerűek, de látszik, hogy mindig csak az aktuális vasra tudnak koncentrálni, arra is csak egy darabig.

Én nem emlékszem, hogy a OPO2-t a kritikák nagyon flagship-nek nézték volna (az sosem érdekelt különösebben, hogy a gyártó mit állít). Majd elválik, hogy a OP3-at meddig támogatják. Bár ha belegondolok, hogy amikor a OPO-t vettem, akkor ugyanezeket hallgattam végig, hogy "majd jól nem támogatják!".

A OnePlus Inc. és a Cyanogen Inc. két évet ígért támogatásra. Két és fél éve jött ki és még frissítik.

BTW: a OP3-on levő OxygenOS teljesen élhető, nekem semmi bajom vele.

--
trey @ gépház

Így van, a Xiaomi telefonokra heti szinten jön friss fejlesztői verzió, van stabil kiadás, és millió másik ROM annak, akinek sok szabadideje van és élvezi az ilyeneket. Nekem most MIUIHU 6.7.21 van, ez a két héttel ezelőtti fejlesztői, ebben két foltozatlan sebezhetőséget talált a Quadrooter. Érdekes módon azt állítja magáról, hogy augusztusi patch levelen van.

És azt is megmondom, hogy miért!
Az új, augusztusi hibajavításban még súlyosabb bug és biztonsági rés volt, ezért a srácok kénytelenek voltak visszaállni a júliusi patchlevelre, ami megbízhatóbb. Hidd el, ők tudják mit csinálnak! ;)
Következőben már remélhetőleg az új lesz. :) ...szerencsére MIUI-sként erre nem kell sokat várni... péntek ;)

Szerintem meg a szokásos BB marketing szöveg. Mindig is azzal próbáltak meg a piacon maradni, hogy azt híresztelték, hogy marha biztonságosabb. Ma már tudjuk, ez kevés volt, majdhogynem a cég is belebukott.

Most is ezt erőltetik. A BB csak egy lett az Android gyártók közül, annak is elég középszerű.

--
trey @ gépház

ez a szal, igy ebben a formaban, marhasag.

a BB szinte az egyetlen gyarto, aki minden honapban publikalja a keszulekeinek az Android sec peccseket, melyik samsungrol vagy lg -rol mondhato ez el? :-)

Tovabba a DTEK50 es PRIV nem erintett...
http://berryblog.blog.hu/2016/08/08/blackberryk_is_tamadhatok_quadroote…

Udv.

--
FBK

"BlackBerry is aware of the issue described in CVE-2016-5340 known as ‘ASHmenian Devil’. A fix was integrated and tested in our labs shortly after the report was received and will be made available to customers as soon as possible.

While the vulnerability affects the majority of Android devices including BlackBerry Android Smartphones, we believe that BlackBerry’s secure boot chain design mitigates the issue since any elevation of privilege to root level will be temporary and any exploit for this issue would be unable to gain a persistent root. BlackBerry is not aware of any exploits for this vulnerability in the wild and does not believe that any customers are currently at risk from this issue" - forrás

Nekem ebből nem az jön le, hogy nem érintett... Max. annyi, hogy nem lesz perzisztens a megszerzett root jog.

--
trey @ gépház

Mint ahogy az egész cikk is egy reklám: "Get ZoneAlarm Protection".

"a product line of Zone Labs, L.L.C. & Check Point Software Technologies, Inc."

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_In…

Nem a cikk a reklám. Az akkor lenne az, ha fizetettek volna érte. De nem :(

Amit a Check Point csinál, az valóban reklámcélú. Az augusztusi bulletin-ben van több másik "kritikus" bug is, amit javítottak. Korábban is volt. Mégsem csináltak hozzá app-ot. Jah, a Check Point jól csinálja. ;)

--
trey @ gépház

Valóban, helyesebb lett volna "cikk" helyett "terméket" írnom.

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_In…

Ha már olcsó készülékek: Én egy Vernee Thor-t használok, mely specifikációjában ver egy sor felső-közép kategóriás telefont (3GB RAM, 8 magos MTK proci stb). Friss Android (6.0), jelenleg a július 5-i security patch-el. Az ára mindössze 40 ezer, magyar garanciával...

--
"Oh, Ubuntu, you are my favourite Linux-based operating system" --Dr. Sheldon Cooper, Ph.D.

( szilard_ v | 2016. 08. 08., h – 13:51 )

Samsung Galaxy Core Prime (SM-G361F), Qualcomm MSM8916 Snapdragon 410, v5.1.1
-> Your device is not affected.

( cherockee v | 2016. 08. 08., h – 16:35 )

Megintcsak azt érzem, hogy a sec. patch-eken kívül az se ártana, ha a felhasználók nem telepítenének böngészőben letöltött .apk-kat. Persze ettől még sajnos a play store-ban lehetnek kártékony app-ok, de nagyban növelnék az esélyeiket. (Keresek statisztikát arról, hogy mennyi törés származik böngészőben reklámra kattintva letöltött .apk-ból.)

Alapból tiltva is van az opció, hogy külső apk-t feltelepítsen valaki. Igazán jó védelmet az adna, ha nem is lenne egyáltalán ilyen opció. De vajon hányan akadnának ki emiatt?

A probléma egyébként az, hogy nagyon sokan használnak olyan technológiát, amihez nem értenek, és benyelik az ilyet: http://www.androidauthority.com/wp-content/uploads/2014/01/fake-virus-a…

( spymorass v | 2016. 08. 08., h – 18:52 )

Nálam S4-en CM13 mai nightlyvel és aug 5 patch levellel 2504-es és 5340-es sebezhetőséget talált. Hogy lehet ez? Nem csak 1-et kellett volna találnia?

( krychek | 2016. 08. 09., k – 15:27 )

Galaxy S5 Duos:
- CVE-2016-2059
- CVE-2016-2504
- CVE-2016-2503
- CVE-2016-5340

Szép... :(