Jelentős mértékben emelte a Google az Android biztonsági hibák bejelentése után kínált jutalmat

Titkosítás, biztonság, privát szféra

A Google az Android Security Rewards programja elindulása óta 1,5 millió dollár jutalmat fizetett ki a biztonsági szakembereknek. A keresőóriás a kifizethető jutalom maximális mértékét most felemelte 50 ezer dollárról 200 ezer dollárra. Részletek itt.

( _Franko_ v | 2017. 06. 02., p – 21:49 )

Ja. De nem csak megtalálni kellene, hanem kijavítani is... :D

Tudtommal mindig megy az AOSP kódbázisba a javítás... semmi se akadályozza meg a kínai vendor-t, hogy ha csinált egy Google-tól független fork-ot, akkor tolja ezeket a frissítéseket. Ez most kicsit olyan, mintha csinálnék egy RHEL forkot, aztán pampognék, hogy a Red Hat miért nem ad rá hibajavításokat... :)

Nem ezt kellene megoldaniuk, hanem azt, hogy legalább a nem driver, hanem a rendszer egyéb részeit érintő javitások ugyanúgy frissüljenek a store-ból, mint az alkalmazások.

Lásd webview. Régen a rendszer része volt, csak firmware cserével lehetett hibát javitani benne, de mivel lyukas mint az ementáli és folyamatosan patchelni kell, kiszervezték alkalmazásba és ma már a store-ból frissül, függetlenül a firmware-ről.

Most kezdenek csak ebben az irányban vakarózni, de ezt kb. 10 évvel ezelőtt kellett volna. Defective by design iskolapéldája.

Te valamit nagyon félreértettél. Ki beszélt itt hibátlanságról? Éppen a hibák javitásának normális módjáról beszéltem.
A jelenlegi rendszer eredményét látjuk, a piacon lévő eszközök 99%-ára nem jut el nemhogy az utolsó havi patch, de valószinű az 1-2 évvel korábbi patchek sem.

Nem technikai, hanem jogtechnikai. Az Android egy nyílt forrású szoftver Apache 2.0 licenceléssel, mit értesz ez esetben "validált telefonon"?

Ha én szeretnék egy AOSP fork-ot, akkor a legutolsó dolog az lenne, hogy hagyjam, hogy a Google OTA tolhasson rá bármit... legalábbis szerintem az Amazon Android fork-ja esetén az Amazon nagyon nem szeretné, hogy a Google egy kiskapun ki-be járhasson az eszközein. Ahol meg van Google integráció, tehát elérhető a Play, ott az összes eszközre mennek a háttérben biztonsági frissítések.

> Ahol meg van Google integráció, tehát elérhető a Play, ott az összes eszközre mennek a háttérben biztonsági frissítések.

tehát ha hazamegyek, s megnézem anyámék alcateljét, akkor a security patch level azon is 2017. május 5., mint a sajátomon?
sőt, ha közbekérdezek az ismerettségi körben, akkor ~10% alatt (hasraütöttem) lesz az androidosok között a 2017. előtti sec-levellel rendelkező androidos telefonok aránya?
--
blogom

V.ö. ha egy olyan cégnek küldök hivatalos levelet, ahol basznak frissíteni az op. rendszert, onnan is fog adat szivárogni. Ezt evidenciában kell tartani, ezzel együtt kell élni. Nem lehetünk felelősek a világ összes bajáért. Nem lehetünk és én személy szerint nem is akarok.

--
trey @ gépház

Lehet, hogy abban az 1%-ban vagy akit nem érint, ettől még az androidot használó userek 99%-a nem kap frissitést pár éves eszközére sem.

De hasonlits össze egy 5 éves ios eszközt (bármelyiket) egy 5 éves androidos eszközzel (bármelyiket) és nézd meg melyik van patchelve.
Az összes 5 éves androidnak kizárt, hogy akár 1%-a is megkapta volna mondjuk a 2017 májusi patch levelt. Sőt, félek, hogy az 1 éves android eszközök fele sem kapja meg. Szemben az ios-el ami évekig megkapja biztonsági frissitéseket.

Nem tudom, hogy miért érdekeljen. Miért érdekelne bárkit, hogy neked 2 db eszköz frissül a lakásodban?
Attól még az egész platform defective by design és az eszközök 99%-a folyamatosan sebezhető, mert nem kapnak frissitéseket.
Én sem tudom mennyire releváns, hogy neked van két eszközöd ami állitólag jól frissül.

Nem muszáj neked ezzel foglalkozni, csak nem próbáld meg elbagatalizálni a problémát olyan hülyeséggel, hogy neked márpedig frissül, mert nagyon-nagyon ritka kivétel.

Tévedsz. Nálam minden rendszert frissül.

- az Android
- a Windows
- az iOS
- az Ubuntu

Ami nem érdekel az az, hogy másnál miért nem frissül

- az Android
- a Windows
- az iOS
- az Ubuntu

Vagyis értem én, hogy szerinted az Android "defective by design" (lefordítom Imo nyelvről = olyan eszközt kell venni, amit frissítenek), de ahogy az sem érdekel, hogy valaki Windows XP-vel bankol a mai napig, az sem érdekel, hogy Android 2.2-t futtat.

--
trey @ gépház

Értem én, hogy most meg több mint másfél évtizede kiadott windows xp-vel próbálod összemosni a problémát, - ami éppen 14, azaz tizennégy évig kapta a frissitéseket - az androiddal aminek a legnagyobb gyártótól származó készülékei is jó ha fél-egy évig frissülnek, de ennek továbbra sincs semmi értelme.

Ahogy annak sem, hogy lehet találni olyan készüléket (100-ból mondjuk 1-et) ami akár 3-4 évig is frissül, csak az a baj, hogy még mindig nem érted, hogy a defective by design azt jelenti, hogy még ebben az esetben is a gyártóra vagy utalva a frissitésekkel. Hiába adja ki a google a javitást, az elcseszett rendszer miatt csak akkor kapod meg, ha a telefonod gyártója is akarja. Fentebb már kifejtettem, hogy mi a megoldás a webview példáján.

Hiába a mellébeszélés (válassz jól telefont) elég szépen látszik a probléma azon a tényen, hogy a piacon lévő androidos telefonok 99%-a nem kap patch-et és emiatt töklyukas.

"az androiddal aminek a legnagyobb gyártótól származó készülékei is jó ha fél-egy évig frissülnek"

A Samsung Note 2 telefonom idén szeptemberben lesz öt éve a piacon, mind a mai napig rendszeresen jönnek a Samsung Security Policy Update keretében a biztonsági frissítések és a Google Play irányából a Google ökoszisztéma biztonsági frissítései, pedig 4.4.2 van rajta, ami nem 2012 végén jött, hanem 2015 végén. Miért kell hülyeségeket írni olyasmiről, amit nem ismersz kellően? :)

"Nézd már meg, mi az android patch leveled ezen a telefonon?"

Mint írtam volt, a Samsung Security Policy Update keretében jönnek a biztonsági frissítések... még áprilisban még egy software update is jön... biztos nem kevered a major frissítéseket a kisebb frissítésekkel, illetve a Samsung Security Policy Update frissítéssel? :)

Ugye te sem hiszed el, hogy a samsung majd kijavitja azokat a hibákat pl. a 4.4-ben amit a google sem javit ki...
De még rendes listát sem találtam, hogy pontosan mely bugokat javitja mely verziókhoz az SSPU-ban.

De kölcsönkértem egy A3-t, hogy megnézzem, SSPU telepitve, engedélyezve, utoljára tavaly októberben kapott vele frissitést. (persze ott sem irja, hogy mi van kijavitva benne, félek, hogy töredéke az ismert hibáknak)