Dziury w Androidzie

Android zawiera błędy pozwalające na przejęcie całkowitej kontroli nad chodzącym pod jego kontrolą telefonem.

CoreLabs znalazło w Androidzie błędy pozwalające na przejęcie całkowitej kontroli nad chodzącym pod jego kontrolą telefonem. Exploit został przetestowany pod emulatorem.

Błędy znajdują się w bibliotekach odpowiedzialnych za obsługę różnych formatów grafiki (PNG, GIF i BMP). Część z nich wynika z użycia przez Google przestarzałych i dziurawych wersji bibliotek, inne znajdują się w kodzie napisanym specjalnie na potrzeby Androida.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

45 odpowiedzi na „Dziury w Androidzie”
  1. Awatar trasz
    trasz

    Swoja droga, w przypadku iPhona bledy nie dosc, ze byly znacznie mniej powazne – nie znaleziono AFAIK bledu pozwalajacego na przejecie zdalnej kontroli nad niezmodyfikowanym telefonem – to w dodatku ukazaly sie dopiero po pojawieniu sie produktu na rynku. Lepiej nie myslec, jak bedzie z bezpieczenstwem Androida, gdy ktos zacznie go uzywac.

    (Dlaczego nie w tresci niusa? Nius powinien byc obiektywny, komentarz nie musi.)

    1. Awatar mario
      mario

      iPhone ma inną wadę – odpala programy na prawach root, za takie coś powinni ręce ucinać! Błąd w bibliotekach, ale dobry projekt zabezpieczeń nie jest problemem, bo wystarczy zastąpić te biblioteki wersjami bez błędów.

      1. Awatar trasz
        trasz

        Android najwyrazniej robi to samo, skoro blad w bibliotekach do obrazkow pozwala na zrobienie z telefonem, co sie chce.

        1. Awatar mario
          mario

          Tylko Android nie jest jeszcze w wersji finalnej i jest szansa na zrobienie tego dobrze. Pożyjemy zobaczymy.

      2. Awatar Gf
        Gf

        juz nie. praw roota nie ma chyba od 1.1.3

    2. Awatar sprae
      sprae

      To dlatego był eksploit odblokowujący telefon przez błąd w libtiff?
      Co do androida to on ma tyle wspólnego z Linuksem, co Tivo.

  2. Awatar maniek
    maniek

    Przeciez to jest platforma testowa, wiec niewiem czemu sie tak podniecasz. Wole zeby znalezli wszystkie bledy w wersji testowej niz potem zaaplikowali system z bledami do jakiegos urzadzenia.

    1. Awatar trasz
      trasz

      Ja bym wolal, zeby developerzy sie starali i wylapywali takie bledy sami zamiast liczyc na "spolecznosc". Innym producentom wychodzi lepiej.

      1. Awatar mario
        mario

        Tak zwłaszcza Microsoftowi i Apple – zobacz sobie jaki jest czas reakcji na błąd krytyczny i czas wydania poprawki w przypadku znanych i poważanych projektów OpenSource.

        1. Awatar trasz
          trasz

          Sam zobacz. Ile sie czeka na poprawke eksploitowalnej dziury od Apple, a ile od RedHata?

      2. Awatar Maniek
        Maniek

        Google pozostawilo duzo swobody programistom i nie sa w stanie zapewnic, ze wszystkie biblioteki beda super bezpieczne. iPhone nie jest wcale bezpieczny. Kazda aplikacja moze przejac caly system bo wszystko jest uruchomiona na prawach ROOTa, wiec szukanie podobnych bledow w iPhone mija sie z celem, bo w androidzie to jest blad a w iPhone jest to standard.

        1. Awatar trasz
          trasz

          Fajna teoria. Szkoda, ze niezwiazana z rzeczywistoscia – dziur w iPhone nie ma wiecej, niz w Androidzie, mimo ze to prawdziwy, dzialajacy produkt, a nie jakis preview, ktory nawet na rynek nie trafil i ktorym nikt poza paroma developerami sie nie interesuje.

          Co do roota – powyzszy przyklad pokazuje, ze w Androidzie wyglada to tak samo: dziura w czymkolwiek daje pelna kontrole nad wszystkim.

        2. Awatar Maniek
          Maniek

          no tak iPhone to prawdziwy dzialajacy produkt i jak Android takim bedzie to mozna wtedy porownac oba. Jesli chodzi o prawa root to wcale nie jest to tak samo. To ze teraz w wersji DEVELOPERSKIEJ wykryl ktos blad oznacza tylko tyle, ze tego bledu nie bedzie w przyszlosci. W iPhone kazdy program moze przejac kontrole nad systemem i NIE DA sie tego ograniczyc, taka jest poprostu budowa tego systemu. Zabezpieczenia w iPhone sa tak samo smieszne jak w windowsie i tak samo jest podatny na rozne ataki. Poczekaj na wirusy/trojny/robaki itp. atakujace iPhone a zobaczysz swoje super zabezpiecznia iPhone.

        3. Awatar sobi3ch
          sobi3ch

          NO właśnie, ja tylko dopowiem ze iPhone mryga pod
          * Mobile OS X (1.1.4)

        4. Awatar sobi3ch
          sobi3ch

          (ucina komentarze ten wordpress 🙂
          .. a Androdi pod android-sdk_m5-rc15

        5. Awatar trasz
          trasz

          @Maniek: Kolejna fajna teoria, niestety znowu nie zwiazana z rzeczywistoscia. Jedyna zgodna z rzeczywistoscia informacja, ktora mozna wyniesc z tego, co napisales powyzej, to to, ze o modelu zabezpieczen w iPhone masz dokladnie takie samo pojecie, co o modelu zabezpieczen w Windows – zadne. Sorry. Poczytaj troche o podstawach, potem wroc.

        6. Awatar Maniek
          Maniek

          Widze specu, ze ty masz pojecie. Windows i iPhone (wersje

        7. Awatar Maniek
          Maniek

          Co sie stalo z moim komentarzem? Silnik chyba zle zrenderowal znak nawiasu ostrego.

      3. Awatar sprae
        sprae

        Mamusia nie opowiedziała jak powstaje oprogramowanie otwarte, którego platformę zawłaszczył android?
        Polega ono na tym, że przelewa się zamysł w działający program. Ma to się odbywać wedle przypowieści Linusa "kompiluje się? – Dobrze!, Uruchamia? – Wspaniale!". Potem wraz ze społecznością stabilizuje się całość, by działa dobrze i bezbłędnie.

        1. Awatar Maniek
          Maniek

          Czy to jest gorsze podejscie od ciagle zawieszajacego sie windowsa? Nawet w najnowszej viscie nie usuneli bledow z przeszlosci. Wloz CD odpal z niego jakis program i wysun klapke a zobaczysz jak dziala super komercyjne oprogramowanie. Czy lepiej?

        2. Awatar sprae
          sprae

          Myślę, że jak każde ma swoje wady i zalety. Do zalet możemy zaliczyć większą naturalność (zakładając, że nie ma rzeczy doskonałych).
          Wady wynikają głównie z małej elastyczności procesów biznesowych w firmach, które w większości małych przedsiębiorstw przypominają stan z początku lat 90 (tworzymy i sprzedajemy). Obecnie oprogramowanie powinno być jeśli chodzi o komercje rodzajem subskrypcji.

        3. Awatar sprae
          sprae

          Mówiłem oczywiście o "Opiz Surz".

        4. Awatar Memphis
          Memphis

          A co się dzieje, jak się wysunie klapkę w Viscie? W XP progam się wysypuje i każe włożyć płytę. W Linuksie się nie da wysunąć klapki. Przez to na przykład nie mogłem zainstalować gry, która jest na kilku płytach, bo jak instalator chciał drugą płytę, nie dało się zmusić systemu, żeby mi ją oddał. Poza tym, W ciągu ostatnich czterech lat używania Windows XP nie zawiesił mi się ani razu. Nie mówię, że Linux się wiesza. Ale ta niestabilność Windows, to może od przypadku zależeć chyba też.

        5. Awatar wadosm
          wadosm

          1. Windows wcale nie jest mniej sabilny od linuksa. Powiedziałbym że linuks (X'y dokładniej) częsciej mi się wysypywały od windowsa jako takiego.
          2. Inna sprawa że pod linuksem mam większą kontrolę nad tym co się dzieje w systemie.
          3. eject -m – wymuszenie wysunięcia płytki pod linuksem. Choć przyznam, że fajniej byłoby tak jak pod windowsem poprostu kliknąć przycisk, niż wpisywać komendy w terminalu.
          4. Pozdrawiam

  3. Awatar 2M1R
    2M1R

    @trasz: Applowym akwizytorom dziękujemy:)

    A poza tym od kiedy RedHat = Linux? RedHat tylko tworzy 1 z dystrybucji. Lepiej popatrz na inne distra np. na Debiana a nie na 1 firmę. Pozatym GNU/Linux to nie wytwór jednej firmy tylko składa się z z wielu programów różnych twórców.

    1. Awatar trasz
      trasz

      Ok. Ile sie czeka na oficjalny pakiet poprawiajacy eksploitowalna dziure w Debianie, tak srednio?

      1. Awatar Maniek
        Maniek

        pare godzin na nieoficjalny

        1. Awatar jellonek
          jellonek

          no i o to chodzilo trashowi – w przypadku gnu – odpowiedz na znalezienie dziury masz zazwyczaj bardzo szybka (no chyba ze w mozilli :]) – w przypadku apple – miesiaaaace…

        2. Awatar trasz
          trasz

          Kogo obchodzi nieoficjalna poprawka? Liczy sie oficjalna, instalowana automatycznie, tak jak w OSX.

          Wiec ile?

          @jellonek: Mozesz podac przyklad praktycznie eksploitowalnej dziury, ktorej zalatanie zajelo Apple miesiace?

        3. Awatar wadosm
          wadosm

          1. A możesz podać przykład praktycznie eksploitowalnej dziury w linuksie, której załatanie zajęło parę godzin?
          2. Nieoficjalna poprawka pojawia się w parę godzin, oficjalna ~1 dzień.

          Pozdrawiam

  4. Awatar Shufla
    Shufla

    OFF-TOPIC

    Pragnę uprzejmie donieść, że klikanie "w minus" przy wypowiedzi, nie służy jej oceny pod kątem merytorycznym, a ma być odsiewaniem śmieci. Służy nie do cenzury i "zakopywania" czegoś, z czym się nie zgadzamy, a sprzątania po trollach.

    Pozdrawiam,
    Łukasz

    1. Awatar mazdac
      mazdac

      a do "zakopywania" flame warsów?

      1. Awatar Shufla
        Shufla

        No bez przesady. Akurat poziom dyskusji jest w porządku. Nikt na nikogo błotem nie rzuca, lekkie przytyki tylko.

        Z drugiej strony widać, jak wielu ludzi chciałoby cenzurować innych 🙂

    2. Awatar umlaut
      umlaut

      A może by tak odpuścić sobie te rankingi komentarzy …

      1. Awatar Memphis
        Memphis

        Świetny pomysł, aż plusika kliknąłem :D. A jeśli nie odpuścić, to wywalić plusy. Bo po co one są?

        1. Awatar mario
          mario

          Po to aby trolle nie minusowały dobrych komentarzy.

        2. Awatar umlaut
          umlaut

          Aby trolle nie minusowaly raczej wywaliłbym minusy 😀
          A tak od siebie dodam, ze nigdy nie patrzylem na te cyferki kolo kommenta, chyba ze ktoś narzekał, ze ma dożo minusów:). Sam zaś jedynie plusowalem, ale tylko gdy komment cechował sie wyjątkowo celną uwagą, ewentualnie wysoce cynicznym dowcipem 🙂 i to niezależnie czy troll czy nie troll:D
          Moim zdaniem portal staje sie obecnie bardziej "popularny" (niczym DP) i wydaje mi się ze ranking komentarzy stracił swój pierwotny cel wiec po prostu byłbym za tym z tym skończyć.

  5. Awatar Gf
    Gf

    jesli bym mial wybierac dzis to wybieram Apple iPhone niz niesprawdzony Android. Dzis ma byc SDK 😉 ciekawe czy bedzie i kiedy.

    Ale android dla mnie ma inna wartosc. jak znam zycie bedzie na tym openmoko dzialac i o to chodzi 😉 a jak nokia bedzie uruchamiac QT to po co wiecej?

    1. Awatar sprae
      sprae

      Openmoko nie powstanie. Na razie proces produkcji oprogramowania przypomina tam procesy zachodzące przy produkcji duke nukem forever.

      1. Awatar ufoman
        ufoman

        Eee? Wypuścili już jedno urządzenie wyprodukowanie przez FIC, teraz są już poniekąd "na swoim"…

        1. Awatar sprae
          sprae

          Chodzi o tą "betę" dla deweloperów?

        2. Awatar ufoman
          ufoman

          ZTCP to wypuścili finalną wersję tegoż…

  6. Awatar 2M1R
    2M1R

    @sprae: tak:) Moim zdaniem OpenMoko już przegrało, jak wyjdzie android to OM umrze śmierciom naturalną

  7. Awatar sprae
    sprae

    Jakby ktoś sie pytał to dziś premiera iphone sdk http://www.engadget.com/2008/03/06/live-from-appl…

    1. Awatar trasz
      trasz

      O, wlasnie. W tym momencie Androidowi zostaly juz tylko dwie zalety w stosunku do iPhone – zerowe koszty licencji (AFAIK) i (hipotetyczne poki co) wsparcie wiecej niz jednego producenta sprzetu. Pod pozostalymi wzgledami iPhone jest lepszy. Nie, zeby dotychczas przyszlosc Androida wygladala jakos specjalnie lepiej.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *