HummingBad - közel 10 millió Android eszköz fertőzött a "mindenható", automatikusan root-oló malware-rel

Címkék

Az Ars Technica, hivatkozva a Check Point egy nemrég publikált jelentésére, arról ír, hogy 10 millió Android eszköz fertőzött egy "mindenható", automatikusan root-oló malware-rel.

A malwarekampány TOP20 célországa:

HummingBad TOP20 célterület

Szokás szerint az elavult Android verziókat futtatók vannak leginkább kitéve a malwarekampánynak:

HummingBad áldozatok OS Android verziók szerint

A Check Point jelentése megtalálható itt.

Hozzászólások

12 oldalnyi SHA-256 hash, értelmesek ezek is

Tudom az ideális az lenne, ha minden gyártó azonnal vagy nagyon rövid időn belül kiadná a frissítést.
De ha nem így van, akkor van-e védelmi szoftver vagy legalább olyan ellenőrző szoftver ami megmondja, hogy az én konkrét készülékem a jelenleg használt Androiddal érintett-e?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Sokan leszarják, vagy ha esetleg gyanúsnak is tartják, azért felrakják, mert muszáj. Ott a Facebook. Durván sok jogosultságot kér, mégis ott van mindenkinek a telefonján, és meg se kérdőjelezik az userek, hogy miért kell teljes tárhely hozzáférés neki, amikor ha jól tudom van api ami megoldja hogy ne kelljen ahhoz, hogy az user ki tudjon választani egy képet elküldésre.

Senki nem kérdőjelezi meg miért kell az összes játéknak hozzáférés a táhelyedhez, amikor nem kéne, mert minden appnak van privát tárterülete, de azért mindenki megadja és feltelepíti a játékokat, mert az kell.

Az emberek nagy része el se olvassa gondolván hogy úgy se fogja érteni, minek olvassa.

Google Play-re is bejutottak olyan programok, amiket a Google saját ellenőrzője átengedett, de volt benne "kártékony kód", vagy "távoli vagy változtatható kód" (arbitrary code, bocsi ha rossz a fordítás, így olvastam) futtatására alkalmas rész, saját update csatornával talán. De ebből 2-3 alkalmat ha olvastam, lehet csak 1-et, nyilván ez sem tökéletes, de ezekben nyilván további telepítéseket nem engedett a Google Play, nem tudom remote kill switch van-e, és ki tudták-e lőni a már telepített példányokat.

Az app által kért engedélyek elég árulkodóak tudnak lenni, ez biztos, sok flashlight app kér pl. net hozzáférést, közben hirdeti magáról, hogy reklámmentes :) (természetesen), illetve volt már vonalzó és vízmérték app amibe belefutottam, és gyakorlatilag mindenhez kért engedélyt. Nem 100%, hogy malware volt, vagy hogy az adataimmal visszaélt volna háttérben, de ez szerintem nem irreális időráfordítás, mármint ellenőrizni telepítéskor, hogy mi a logikus engedély, és mi nem.

Maradjunk annyiban, hogy senkitől nem várható el, hogy magányomozót fogadjon annak kiderítésére, hogy X gyártó ad-e majd ki frissítéseket Y okostelefonjához a vásárlást követő T időszakon belül.
Autót (hahaha) sem úgy vesz senki, hogy mérlegeli, vajon a gyártó melyik modelljeit fogja visszahívni.
Ha valahol lehetne nyugodtan szigorú EU-s szabályozást csinálni, az pont a terméktámogatás lenne egy kötelező minimum életciklus alatt.

Több olyan gyártó is van, ami nem, vagy csak részben támogatja a készülékeit, holott nélkülük nem tartana ott a platform elterjedtsége, ahol.
Szóval, ha csak a Nexus lenne a piacon, mint karbantartott Android, nem lenne vezetö platform. Ès akkor most nem lenne miröl itt beszélnünk.

Egyre több az olyan cég, aki idö elött felhagy a támogatással, mert nem biznisz. Az a biznisz, ha megveszed az újabb cuccot, egész addig amíg támogatják, aztán... megveszed az újabb cuccot és így tovább

Attól, hogy valami nem frissül vagy nem támogatott, még lehet használni, csak ésszel. Pl. telefonálásra, netkapcsolat nélkül. Még mindig jobb, mint a szemétdombot növelni Elefántcsontparton.

Amíg a kapitalista profitszerzés a fö szempont, kb. az utolsó a biztonság. sem az Android, sem a Windows Phone nem lesz sosem biztonságos. Mindkettö platform kémkedik.

--
robyboy

"Szóval, ha csak a Nexus lenne a piacon, mint karbantartott Android, nem lenne vezetö platform."

Ott a pont. Ha én pl. vizálló, sd kártyával bővithető, max 1 éve kiadott telefont keresek, amire biztositottnak látszik(!) a patchelés, akkor igen kevés telefon közül választhatok, ha egyáltalán. A CM telefontámogatása pedig nagyon-nagyon kicsi és amikre fel lehet tenni, azokon belül is nagyon soknál azonnal ugrik a gari a bootloader nyitás miatt. Tehát örülök, hogy van akinek éppen olyan igénye van, hogy talál olyan telefont amire meg lehet oldani a patchelést, de ez nagyon kevés emberre igaz. Nincs is ezzel gond egészen addig meg nem lesz valami nagyon nagy pofáraesés és világméretű botrány a sok lyukas android miatt.

Szóval az igazság ez, hogy ez a "válassz jól", meg bütyköld meg magad igazából elenyésző ember igényeit elégiti ki, ezért is mutatják a csúnya tények azt, hogy a használatban lévő android telefonok legalább 90+ százaléka sebezhető gyakorlatilag bármelyik pillanatban, 2/3-uk pedig botrányosan lyukas és esélye sincs patch-re.

Továbbá, ha a frissítések hosszútávú garanciája lenne a vásárlás fő szempontja, adott esetben pl. a megboldogult Firefox OS lett volna a befutó (vicc), mert frissítették a haláláig lelkesen, de kutyának sem kellett, mert funkcionálisan nem nyújtotta az elvártat.

--
robyboy

Lehet 'értéktelen' dolgokat csinálni csak minek..

"Attól, hogy valami nem frissül vagy nem támogatott, még lehet használni, csak ésszel. Pl. telefonálásra, netkapcsolat nélkül."
És akkor lesz nálad két telefon? Vagy hogy?
Szerintem már azzal növeled a szemétdombot Elefántcsontparton, hogy olyan telefont veszel amit nem tudsz 1 évnél tovább biztonságosan használni.

Lehet csak annyit kellene még ráírni a telefonok cimkéjére, hogy biztonsági frissítések/szoftver élettartam 2016.12.31-ig (pl).

Maradjunk annyiban, hogy a Motorola két évig (vagy tovább) ígérgette a jövő hónapra a frissítést anno. Persze mire kiadták már nyilván elavult volt. Akkor megfogadtam, hogy egyrészt soha többé Motorolát, másrészt meg hogy ha lehet, akkor csak olyat, amit én is tudok frissíteni pl. CM-mel.
De ez azért nem várható el Átlag Józsitól, pedig azért na, hadd vehessen már Ő is Androidos telefont.

"senkitől nem várható el, hogy magányomozót fogadjon annak kiderítésére"

Öt perc gugli keresés magyar nyelven. De akár egy szakember tanácsát is kérheti. Milyen kár, hogy a szakember nem fogja neked azt mondani a "merthülyeazértnemvagyok" boltban, hogy a JELENLEG 4.2-es Androiddal adott Hiáncsung márkájú tabletet ne vedd meg csak azért, mert 12e forint az ára. Neki nem érdeke, hogy a náluk egyébként nem árult Nexusok fele terelje a vevőt.

Az általad említett boltokban nem is szakemberek vannak, tapasztalatom szerint csak értékesítők. Amivel nincs semmi gond, csak ne kérdezd őket, ellenérdekeltek az igazsággal szemben, ahogy írtad, de szerintem függetlenként sem állnák meg a helyüket "szakértőként".

Helyette azt érdemes elfogadni, hogy a gyártók nagyrészét nem érdekli a frissítés, mert azzal is meghosszabbítják a készülék élettartamát, ami pont akkor jó, ha garancia után nem sokkal véget ér. Amint lesz igénye a népeknek patch-ekre (ejtsd: mindennapos lesz, hogy a buszmegállóban állva feltörik a telefonod bluetooth-on keresztül és kiírják a facebook faladra, hogy kék a hajad), akkor majd lesz előfizetős modell (ami amúgy nagyjából mindenre megoldás lenne, nem csak erre).

"Az általad említett boltokban nem is szakemberek vannak"

Hát ezaz, de az átlagvásárló mégis kihez fog fordulni ha kérdése van, és nem tud dönteni? Nyilván őket nevezi ki szakembernek, és az ő elfogult, vagy hiányos ismeretek alapján született tanácsaikra fog hagyatkozni, mert rajtuk van a piros póló.

"a gyártók nagyrészét nem érdekli a frissítés"

Yep, ezért kellene a Google-nek szigorítania a szabályokat. Ha valaki az Androidot akarja használni a telefonja rendszereként akkor gondozza már azt úgy, hogy ne rontsa az alaprendszer hírnevét. Ez szerintem teljesen jogos elvárás lehetne a Google részéről.

Egyébként nem lenne annyira gond, ha minden gyártó a garancia lejártáig vállalná a supportot, de még addig sem teszik. Legalább annyira vállalhatnák, hogy amíg kapható a készülék addig legyen friss rendszer, hogy legalább a megvétel pillanatában pár napig elmondhasd hogy naprakész a rendszered. De addig sem teszik. Volt a kezemben olyan tablet, egy fél éve, amin 4.2 vagy 4.4 volt, egyébként teljesen vanillának látszó Android, egy látványos módosítás volt benne: A szoftverfrissítés menüpont hiányzott. előre tudták, hogy mennyire akarják leszarni a vevőt.

Hibáztatnám a gyártót aki elkészíti ezt, hibáztatnám az áruházat ami árulja a készüléket, de inkább hibáztatom a Google-t, hogy nem képes kicsit szigorítani a szabályokon.

Le vagyok maradva eléggé a dologgal, ezért kérdezem: történt már valami látványos dolog, ami az Android sebezhetőségét használta ki?

Az MS nyilván azért adja ki sorra a patch-eket, mert állandóan szem előtt van a téma és nem tehetik meg, hogy ignorálják. De egyelőre nem látom (lehet, rossz felé nézek) a híreket, hogy a fél világot kirabolták/térdre kényszerítették/egyéb módon megszívatták egy pár milliós zombi Andorid hálózattal.