Cannon a sebezhetőségre írt PoC-t Android 2.2-t (Froyo) futtató Android emulátoron és Android 2.2-t futtató HTC Desire készüléken is tesztelte.
A sebezhetőségről értesítette az Android Security Team november 19-én. A biztonsági csapat azonnal válaszolt, komolyan vette a problémát. A hibát az Android 2.3 (Gingerbread) megjelenése után tervezik javítani egy karbantartási kiadásban. A javításig Cannon több workaround-ot is javasol a felhasználóknak.
Részletek a blogbejegyzésben.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Sajnos önmagában a Market is veszélyes.
Pl. létezik egy program - magyar fejlesztésű -, ami a CIB Bankos számlaegyenleget hivatott lekérni és megmutatni. A dolog szépséghibája, hogy a CIB Bank mit sem tud a programról.
A fenti csak egy példa arra, hogy személyes adatokat milyen könnyen ki lehet csalni a egy program segítségével, ami pl. a Marketből elérhető.
- A hozzászóláshoz be kell jelentkezni
Nekem kulonosen ez tetszik:
A biztonsági csapat azonnal válaszolt, komolyan vette a problémát. A hibát az Android 2.3 (Gingerbread) megjelenése után tervezik javítani egy karbantartási kiadásban
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
igen az valoban nevetseges :/ Maemo/Meegoban a kevesebb fejleszto joval gyorsabban javitana a kevesebb felhasznalot erinto sebezhetoseget
- A hozzászóláshoz be kell jelentkezni
"Maemo/Meegoban a kevesebb fejleszto joval gyorsabban javitana a kevesebb felhasznalot erinto sebezhetoseget"
Hogy jön ez ide?
- A hozzászóláshoz be kell jelentkezni
nekem minden ennel kisebb bug reportomra meg aznap valaszoltak.
Ugy jon ide, hogy illene az Androidnak ezt komolyan venni (bar szerintem errol erkezni fog meg updtae, "ma javitja a Google" kezdetu cikk hamarosan, vagy hasonlo, de ez a kijelentesuk, hogy 2.3 utan ez finaomnszolva durva)
- A hozzászóláshoz be kell jelentkezni
Érdekes, hogy az Android fejlesztői a securityt afféle másodrangú featureként kezelik: hát sokan kérték, hogy ne' lehessen má távolról adatot lopni, maj' átgondoljuk aztán jelentkezünk.
- A hozzászóláshoz be kell jelentkezni
Ezzel nemcsak az a probléma, hogy az r=0 és kissé nagyobb sugarú júzerekre mér egy nagyrakás lesz*rást, hanem azokra, is, akik bevállalva a garanciavesztést igyekeznek a rootolt készülékeikkel a lehető legfrissebb, de már használható ROM-okat telepítgetni.
- A hozzászóláshoz be kell jelentkezni
Ebben az az érdekes, hogy nekem Nexus One-om van és két napja feldobta, hogy elérhető egy fontos rendszerfrissítés. Akkor az Android 2.3-ra gondoltam, aztán gyorsan feltűnt hogy valamilyen más javítás. Lehet hogy ennek a hibának a javítása lett volna vagy más?
- A hozzászóláshoz be kell jelentkezni
Szerencsés vagy a nexusoddal. Sajnos azonban a legjellemzőbb az, hogy nem csak a google-re kell várni (lehet, hogy rájuk nem is kell várni sokat), hanem a telfongyártókra, és a szolgáltatókra is, hogy elkészítsék az új rom-ot, és terjeszteni kezdjék.
Az én motorola milestone-omra hónapokkal azután érkezett meg a 2.1 hibajavító update-je, hogy angol nyelvú fórumokon szó volt róla. És ez csak egy hibajavító update egy verzióra nézve, a 2.2 még várat magára.
- A hozzászóláshoz be kell jelentkezni
nekem azok a free marketes appok tetszenek amik emelt díjas hívást és smst akarnak használni
No rainbow, no sugar
- A hozzászóláshoz be kell jelentkezni
pofatlansag teteje
- A hozzászóláshoz be kell jelentkezni
Ilyennel még nem találkoztam... (Csak a felismerhetőség kedvéért tudnál "ajánlani" egy ilyen programot?)
- A hozzászóláshoz be kell jelentkezni
Csak néhány példa, amit nem értek:
Opera Mini: Fizetős szolgáltatások (telefonszámok közvetlen hívása)
Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)
De random szemezgetve rengeteg app a Marketről olyan erőforrásokat kíván használni, amik egyszerűen érthetetlenek. És ezek mind olyan free appok, amik nem 1 vagy 2 csillagosok, hanem kimondottan népszerűek, és sok letöltés van mögöttük. De ez sem új dolog (Például nemrég írták itt.)
- A hozzászóláshoz be kell jelentkezni
Az opera azóta kibővült sms küldésre is...
és igen van egy valag ilyen, engem is idegesít. (Mondjuk sok kárt nem tud csinálni mert az emelt díjas és külföldi hívások le vannak tiltva a céges kártyán... de akkor is)
No rainbow, no sugar
- A hozzászóláshoz be kell jelentkezni
"Az opera azóta kibővült sms küldésre is..."
Az sms küldés semmi mást sem csinál, mint értesítheted a haverodat, milyen jó kis böngészőt használsz.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.
- A hozzászóláshoz be kell jelentkezni
Igen teljesen megszokott napi dolog ez, LOL.
Ennyi erővel a minesweeper meg elkérhetné a bakszámlaszámomat mert akkor fogadhatnék a haverokkal, hogy nem rontom el.
No rainbow, no sugar
- A hozzászóláshoz be kell jelentkezni
LOL, vagy a Mahjong bekerhetne a telefonkonyvedbol a telefonszamokat random seednek :D
Bar a szemelyes kedvenc akkor is a local high score miatt bekert GPS koordinatak :D
Komolyra forditva a szot szerintem meg lehetne/kellene oldani, hogy bizonyos dolgokat csak akkor hasznaljanak az alkalmazasok, ha engedelyt adok ra, mar a MIDP-es java programokban is lehetett korlatozni a legkezdetlgesebb telefonon is a nethozzaferest, nehogymar most az uberfejlett Androidon gondot okozzon, hogy csak a marketben valo OK-zaskor tilhatod le egy szoftver fizetos szolgaltatasait (mellesleg csak az egesz szoftver fel nem rakasa az ára). Johogynem jelentik ki, hogy "van ra workaround flight mode szemelyeben" :D
- A hozzászóláshoz be kell jelentkezni
Local high-score miatt?! LOL! Az jó! :)
Bár azt nem értem, hogy a global high-score ellen miért ágálnak páran, főleg úgy, hogy le lehet tiltani?! Mi is alkalmazzuk, de eszembe nem jutna soha statisztikákat készíteni a userekről ezzel a módszerrel. Arra van más lehetőség. :)
- A hozzászóláshoz be kell jelentkezni
"Csak néhány példa, amit nem értek:
Opera Mini: Fizetős szolgáltatások (telefonszámok közvetlen hívása)"
Az opera mini alaphelyzetbe el tudja különíteni a weboldalon lévő telefonszámokat, és ha rányomsz, fel tudod hívni. Ennyi. Ha nem tetszik a szolgáltatás, le lehet tiltani az opera:config-ba
"Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)"
Ez a telefon állapotának olvasása és alvásának megakadályozása azt a célt szolgálja, hogy amikor takarékos üzemmódba kerül a teló, ill. ha adott időn belül elsötétedne a kijelző, ne lépjen ki a játékból. Magyarán az adott játék (alkalmazás) felülbírálhatja ezt a funkciót.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.
- A hozzászóláshoz be kell jelentkezni
>> Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)
> Ez a telefon állapotának olvasása és alvásának megakadályozása azt a célt szolgálja, hogy amikor takarékos üzemmódba kerül a teló, ill. ha adott időn belül elsötétedne a kijelző, ne lépjen ki a játékból. Magyarán az adott játék (alkalmazás) felülbírálhatja ezt a funkciót.
Hát szerintem, amit te mondasz, az inkább "Rendszereszközök (a telefon alvó állapotba kerülésének letiltása)" címszó alatt szerepel.
- A hozzászóláshoz be kell jelentkezni
Jewels: Telefonhívások (telefon állapotának és azonosítójának kiolvasása)
Ezt nagyon sok programnál láttam, ne engem kövezzetek, ha nincs igazam, de véleményem szerint ez arról szól, hogy ha a program használata közben hívásod érkezik, akkor azt a program le tudja kezelni. Például megállítja az órát időre menő játéknál. vagy ilyesmi.
- A hozzászóláshoz be kell jelentkezni
---
- A hozzászóláshoz be kell jelentkezni
és mi lesz a 2.1-et vagy még régebbi verziót használókkal?
- A hozzászóláshoz be kell jelentkezni
Ők reménykednek, hogy ez egy 2.2-es bug és a korábbi verzióba még nem volt ideje a fejlesztőknek belerakni.
Majd a Ginger kiadása után oda is berakják :)
- A hozzászóláshoz be kell jelentkezni
Azért a teljesség kedvéért itt egy precizebb leírás a sebezhetőségről: http://mysec.hu/magazin/35-lapszemle/240-biztonsagi-res-az-android-boen…-
Ezzel természetesen nem akarom bagatellizálni a problémát, de számomra úgytűnik, hogy nagyobb a füst, mint a láng.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.
- A hozzászóláshoz be kell jelentkezni