Jelentős mértékben emelte a Google az Android biztonsági hibák bejelentése után kínált jutalmat

 ( trey | 2017. június 2., péntek - 7:34 )

A Google az Android Security Rewards programja elindulása óta 1,5 millió dollár jutalmat fizetett ki a biztonsági szakembereknek. A keresőóriás a kifizethető jutalom maximális mértékét most felemelte 50 ezer dollárról 200 ezer dollárra. Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ja. De nem csak megtalálni kellene, hanem kijavítani is... :D

Meg jo, hogy serenyen dolgoznak. Van mit javitani...

Meg jo hogy a tobbiben nincsenek bugok. Ja varj, de. Igaz a tobbi csak az ios lehet, mert a winphone mar nincs, meg hibaszazaleknak is keves lenne. :)

Amugy egyetertek, hogy van mit javitani.

Ezek a fixek ott lesznek 90+% iPhone-on. Míg az Android fixek ott lesznek 10-% telefonon. Valljuk be, ebben a témában jobb az iOS. A többiben meg ízlés dolga.
--
http://naszta.hu

A lakásomban kéthavonta jön kb. frissítés az iOS-re meg az Androidra is. Miben jobb ebből a szempontomból az iOS?

--
trey @ gépházg

Abban, hogy elérhetővé teszi az elmúlt 5 (?) évben eladott készülékekre.

Google is megtehetné, de neki fontosabb, hogy az utolsó kínai kenyérpiriton is droid fusson, betartatott követelmények nélkül.

Tudtommal mindig megy az AOSP kódbázisba a javítás... semmi se akadályozza meg a kínai vendor-t, hogy ha csinált egy Google-tól független fork-ot, akkor tolja ezeket a frissítéseket. Ez most kicsit olyan, mintha csinálnék egy RHEL forkot, aztán pampognék, hogy a Red Hat miért nem ad rá hibajavításokat... :)

Ez inkább politikai kérdés, mint technikai. Alighanem megoldhatták volna, hogy csak az általuk validált telefonokon futhasson.

Nem ezt kellene megoldaniuk, hanem azt, hogy legalább a nem driver, hanem a rendszer egyéb részeit érintő javitások ugyanúgy frissüljenek a store-ból, mint az alkalmazások.

Lásd webview. Régen a rendszer része volt, csak firmware cserével lehetett hibát javitani benne, de mivel lyukas mint az ementáli és folyamatosan patchelni kell, kiszervezték alkalmazásba és ma már a store-ból frissül, függetlenül a firmware-ről.

Most kezdenek csak ebben az irányban vakarózni, de ezt kb. 10 évvel ezelőtt kellett volna. Defective by design iskolapéldája.

Lényegtelen a technikai megvalósítás, egyszerűen nem az volt a cél, hogy bármilyen korlátozás legyen a rendszerben, egyedül a market share számít.

Ahja, gondolom te is mindig rögtön hibátlan és jó szoftver írsz... mutatnál valamit a 10 évvel ezelőtti repertoárodból? Szeretnék csodálkozni, hogy mennyire tudtál előre gondolkodni. :)

Te valamit nagyon félreértettél. Ki beszélt itt hibátlanságról? Éppen a hibák javitásának normális módjáról beszéltem.
A jelenlegi rendszer eredményét látjuk, a piacon lévő eszközök 99%-ára nem jut el nemhogy az utolsó havi patch, de valószinű az 1-2 évvel korábbi patchek sem.

Nem technikai, hanem jogtechnikai. Az Android egy nyílt forrású szoftver Apache 2.0 licenceléssel, mit értesz ez esetben "validált telefonon"?

Ha én szeretnék egy AOSP fork-ot, akkor a legutolsó dolog az lenne, hogy hagyjam, hogy a Google OTA tolhasson rá bármit... legalábbis szerintem az Amazon Android fork-ja esetén az Amazon nagyon nem szeretné, hogy a Google egy kiskapun ki-be járhasson az eszközein. Ahol meg van Google integráció, tehát elérhető a Play, ott az összes eszközre mennek a háttérben biztonsági frissítések.

"Ahol meg van Google integráció, tehát elérhető a Play, ott az összes eszközre mennek a háttérben biztonsági frissítések."

Bár igy lenne...

Nem lehet, hogy kevered a biztonsági frissítéseket a normál frissítéssel?

Kétlem. Android patch levelről beszélek, ami havonta jelenik meg és biztonsági lyukakat foltoz.

Akkor kevered, értem.

> Ahol meg van Google integráció, tehát elérhető a Play, ott az összes eszközre mennek a háttérben biztonsági frissítések.

tehát ha hazamegyek, s megnézem anyámék alcateljét, akkor a security patch level azon is 2017. május 5., mint a sajátomon?
sőt, ha közbekérdezek az ismerettségi körben, akkor ~10% alatt (hasraütöttem) lesz az androidosok között a 2017. előtti sec-levellel rendelkező androidos telefonok aránya?
--
blogom

Ha megkapta a 4.4.x Android verziót valaha, akkor igen.

4.4, jóvicc :)

Azt ugye tudod, hogy a defective by design patch teritésen kivül másik nagy "előnye" az androidnak, hogy a google nem javit egy csomó lyukat csak 1-2 főverzióig?

Nekem mintha os updatetel jönne, de hétvégén megyek haza, megnézem.

--
blogom

De megkérdezem újra. Hol érint ez engem?

--
trey @ gépház

Először kérdezted meg.
Mondjuk, hogy lopják az ismerőseid telefonjain lévő adataid?

+1

De ez engem miért kell, hogy érdekeljen?

--
trey @ gépház

Miután az ember jellemzően nem saját magával beszélget, így akár érdekelhet is, mi van a túloldalon. :)

Úgy érted, hogy sajnálnom kellene valamiért azokat, akik nem támogatott Android eszközöket használnak elavult verzióval?

--
trey @ gépház

Úgy érti, hogy ellophatják a beszélgetésedet, a telefonszámodat, az email címed, Ibizán készült képeid, melyeken örömlányok társaságában, üvegasztalról szívsz porcukrot.

Úgy érted, hogy nekem ugyan frissül rendszeresen a telefonom, de a 90%-nak nem, ezért - mivel másoknak nem frissül - ellophatják a telefonomról az adataimat?

--
trey @ gépház

v.ö. "én nem használok gmailt", csak a címzettek 90%-a

V.ö. ha egy olyan cégnek küldök hivatalos levelet, ahol basznak frissíteni az op. rendszert, onnan is fog adat szivárogni. Ezt evidenciában kell tartani, ezzel együtt kell élni. Nem lehetünk felelősek a világ összes bajáért. Nem lehetünk és én személy szerint nem is akarok.

--
trey @ gépház

Lehet, hogy abban az 1%-ban vagy akit nem érint, ettől még az androidot használó userek 99%-a nem kap frissitést pár éves eszközére sem.

De hasonlits össze egy 5 éves ios eszközt (bármelyiket) egy 5 éves androidos eszközzel (bármelyiket) és nézd meg melyik van patchelve.
Az összes 5 éves androidnak kizárt, hogy akár 1%-a is megkapta volna mondjuk a 2017 májusi patch levelt. Sőt, félek, hogy az 1 éves android eszközök fele sem kapja meg. Szemben az ios-el ami évekig megkapja biztonsági frissitéseket.

Értem én, hogy tudod még dramatizálni, de még mindig nem értem, hogy miért kellene nekem ezzel foglalkozni? Mi vagyok én? Valami szamaritánus? Vagy a Máltai Szeretetszolgálat?

--
trey @ gépház

Nem tudom, hogy miért érdekeljen. Miért érdekelne bárkit, hogy neked 2 db eszköz frissül a lakásodban?
Attól még az egész platform defective by design és az eszközök 99%-a folyamatosan sebezhető, mert nem kapnak frissitéseket.
Én sem tudom mennyire releváns, hogy neked van két eszközöd ami állitólag jól frissül.

Nem muszáj neked ezzel foglalkozni, csak nem próbáld meg elbagatalizálni a problémát olyan hülyeséggel, hogy neked márpedig frissül, mert nagyon-nagyon ritka kivétel.

Tévedsz. Nálam minden rendszert frissül.

- az Android
- a Windows
- az iOS
- az Ubuntu

Ami nem érdekel az az, hogy másnál miért nem frissül

- az Android
- a Windows
- az iOS
- az Ubuntu

Vagyis értem én, hogy szerinted az Android "defective by design" (lefordítom Imo nyelvről = olyan eszközt kell venni, amit frissítenek), de ahogy az sem érdekel, hogy valaki Windows XP-vel bankol a mai napig, az sem érdekel, hogy Android 2.2-t futtat.

--
trey @ gépház

Értem én, hogy most meg több mint másfél évtizede kiadott windows xp-vel próbálod összemosni a problémát, - ami éppen 14, azaz tizennégy évig kapta a frissitéseket - az androiddal aminek a legnagyobb gyártótól származó készülékei is jó ha fél-egy évig frissülnek, de ennek továbbra sincs semmi értelme.

Ahogy annak sem, hogy lehet találni olyan készüléket (100-ból mondjuk 1-et) ami akár 3-4 évig is frissül, csak az a baj, hogy még mindig nem érted, hogy a defective by design azt jelenti, hogy még ebben az esetben is a gyártóra vagy utalva a frissitésekkel. Hiába adja ki a google a javitást, az elcseszett rendszer miatt csak akkor kapod meg, ha a telefonod gyártója is akarja. Fentebb már kifejtettem, hogy mi a megoldás a webview példáján.

Hiába a mellébeszélés (válassz jól telefont) elég szépen látszik a probléma azon a tényen, hogy a piacon lévő androidos telefonok 99%-a nem kap patch-et és emiatt töklyukas.

Mi lenne, ha a mellébeszélés helyett válaszolnál arra a kérdésre, amit sokadszor teszek fel itt? Miért kellene, hogy engem érdekeljen, hogy másnak nem frissül? Ki a szart érdekel ez? Van olyan választás, ami működik? Van. A többit leszarom.

--
trey @ gépház

Hagyjuk, nem érted. Tökéletesen működik az androidok eszközök biztonsági frissitése.

"az androiddal aminek a legnagyobb gyártótól származó készülékei is jó ha fél-egy évig frissülnek"

A Samsung Note 2 telefonom idén szeptemberben lesz öt éve a piacon, mind a mai napig rendszeresen jönnek a Samsung Security Policy Update keretében a biztonsági frissítések és a Google Play irányából a Google ökoszisztéma biztonsági frissítései, pedig 4.4.2 van rajta, ami nem 2012 végén jött, hanem 2015 végén. Miért kell hülyeségeket írni olyasmiről, amit nem ismersz kellően? :)

Tényleg?

http://www.samsung.com/us/support/answer/ANS00030547/

Nézd már meg, mi az android patch leveled ezen a telefonon?

Én úgy látom utoljára 2 éve kapott patch-t, a stagefright-ra. Az iszonyatosan régen volt, bődületes mennyiségű android lyuk látott azóta napvilágot.

"Nézd már meg, mi az android patch leveled ezen a telefonon?"

Mint írtam volt, a Samsung Security Policy Update keretében jönnek a biztonsági frissítések... még áprilisban még egy software update is jön... biztos nem kevered a major frissítéseket a kisebb frissítésekkel, illetve a Samsung Security Policy Update frissítéssel? :)

Ugye te sem hiszed el, hogy a samsung majd kijavitja azokat a hibákat pl. a 4.4-ben amit a google sem javit ki...
De még rendes listát sem találtam, hogy pontosan mely bugokat javitja mely verziókhoz az SSPU-ban.

De kölcsönkértem egy A3-t, hogy megnézzem, SSPU telepitve, engedélyezve, utoljára tavaly októberben kapott vele frissitést. (persze ott sem irja, hogy mi van kijavitva benne, félek, hogy töredéke az ismert hibáknak)

Szóval alapvetően fogalmad nincs a dologról csak sommás véleményed. Oké... :)

Te rendesen bekajáltad a marketinget úgy látom.

De nem baj, ha te elég erősen hiszed, hogy a 4.4-es készüléked biztonságos, akkor úgy is lesz, sok sikert hozzá :)

Szerintem a biztonsági házirend frissítés nem azonos a biztonsági frissítésekkel. Amennyire én tudom, előbbi csak az Android magatartását szabályozza bizonyos alkalmazások esetében, utóbbi meg javítja (kicseréli) a hibás program elemeket.