Véletlenül felfedezett, 70 ezer dollárt érő Google Pixel Lock Screen bypass

Google

Minden Google Pixel telefonon működött, nem kizárt, hogy más Android gyártók készüléke is érintett. A hibát a Google a november 5-i frissítésben javította. A felfedező kalandos úton ugyan, de végül 70 ezer dollárnyi jutalmat kapott a hibabejelentése után.

Részletek itt.

( prwnd | 2022. 11. 10., cs – 17:16 )

Szerkesztve: 2022. 11. 10., cs – 17:22

Telenor HU sim kártya befigyel (szerk: most látom, hogy magyar)

A neve alapján én azt hittem, hogy német, de a hír vége felé az URL-ből, meg a telenoros simből rájöttem, hogy magyar. Viszont akkor nem tudom mit „David”-ozik, és mielőtt valaki írná, hogy az ékezet, nem illik, a Schützbe bele tudta tenni, pedig az ü egy ritkább karakter a világ nyelveiben, mint az á.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( thxer v | 2022. 11. 10., cs – 20:00 )

Zenfone 8, A12, októberi patch-en kihasználható a hiba. Novemberi még nincs.

jah, ugy nez ki, hogy aosp-ben van a hiba. A kulonfele lockscreenek kozott race condition lephet fel (puk kod, ujjlenyomat feloldo, stb). Az, hogy melyiket oldotta fel, az aki kapja marja alapon tortenik:)

 

Erdekes egy hiba. Kivancsi vagyok mennyire oreg androidokban van mar benne.

Ez a bugok szent gralja:)

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

dehogy szartak ra. Megjeloltek duplicate-nek, hogy ne kelljen kifizetni ra a 100k usd-t.

Aztan a "public outcry"-nak hala, kapott vegulis kulondijat. Persze azt, hogy minek a duplikaltja azt nem tudhatjuk...

Meg az hogyan duplikalt, hogy az eredeti bugreport alapjan nem tudtak reprodukalni a hibat? A srac bugreportja utan vettek eszre, hogy akkor van nekik egy korabban bejelentett bugjuk, ami valszeg ugyanezt triggereli.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Ohh ezt az undormány trükköt indiaiak szerették csinálni egy korábbi melóhelyemen. Mi lereportáltunk nekik egy bugot (kb critical szinten, mert a szoftverüket már telepíteni sem lehetett, akadályozták a projektet). Erre gyorsan (perceken belül) nyitottak egy sajátot ugyanerre, természetesen minor-ra állítva, majd a mi ticketünket lezárták duplicate-tel. Az általunk nyitott bugokat velünk egyeztetés nélkül nem minősíthették volna le, ezért csinálták ezt a "workaroundot".

Régóta vágyok én, az androidok mezonkincsére már!

Nem csak az IT-jé. Én dolgozok indiaikkal is, nem IT-ben, hanem raktározásban, és ott is ezt a hozzáállást nyomják, nem dolgozni, mindent kijátszani, hülye kifogásokat keresni, semmire nem bírnak figyelni vagy akár a legegyszerűbb feladatot is normálisan megcsinálni. Ez a mentalitásuk, gondolom ez otthon nekik elnézett taktika, erre szocializálódtak, ezt az igénytelenséget nyomják mindenhol. Plusz mindenhol nyugaton hozzá vannak szoktatva, hogy polkorrektség van, bántani nem lehet őket, meg ők tömeggel vannak mindenhol, és akkor majd el lesz nekik nézve minden.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Csak hogy legyen ellenpólus is: Mi dolgozunk indiai java fejlesztőkkel és nagyon pozitív a tapasztalat. Igaz itt nem átlag IT Véér István jellegű melóról van szó, komoly szűrés van mielőtt bekerülnek és rendesen meg is vannak fizetve. Egy hátrányukat látom csak, szóban kommunikálni az esélytelen, e-mail only, viszont az teljesen jól működik.

Több, mint egy éve (egész pontosan 2021-10-20 óta) próbálnak indiai supportosok létrehozni nekünk egy sftp hozzáférést, hogy az elektronikus számlákat azon keresztül töltsük le. ssh kulcsról nem is hallottak, nem tudják megkülönböztetni az ssh publikus kulcsot a tanúsítványtól, elküldik körlevélben mindenkinek is (plaintext!) a felhasználónév/jelszót...

Mostanra ott tartunk, hogy a teszt rendszerükre már be tudok lépni, az élesre viszont nem :-) Ha ebben a tempóban haladunk, jövőre talán fog majd működni... :-D

Adalék: a régi rendszerükön 2011-01-25 óta használunk ssh kulcsos belépést (szerintem én voltam az első, aki ilyet kért tőlük), csak át kellett volna vinni a beállításokat az új rendszerre.

( wyx v | 2022. 11. 16., sze – 10:56 )

Szerkesztve: 2022. 11. 16., sze – 10:57

Bujtatott Google reklam, hogyan dolgozz nekunk ingyen es keresd a hibakat helyettunk...

Meg szep, hogy kamu az egesz (marmint nem a bug, hanem ez a "megtalalas").

Ki a t*kom jatssza ezt vegig eletszeruen? :D Egyaltalan hogy jut ez eszebe :D  Nyilvan elore eltervezett akcio volt...