Positive Technologies corporate blog
Information Security
Development for Android
Comments 27
+10
У нас в публикации более развернутый взгляд на ситуацию все же
+2
Вы тогда заголовок поправьте, а то «Новые критические уязвимости в Android...» в первую очередь наводят на мысль о том, что это еще одна новая уязвимость.
0
Там есть пересечения, но не все уязвимости были описаны на Хабре, при этом они и правда новые
+12
Ну в том посте вообще мало что ясно, какой-то рерайт на три абзаца
+3
Специалисты Zimperium также рекомендуют пользователям Android обновить ОС до последней верси

Беда в том, что производители в большинстве своем очень быстро забивают на обновление устройств. Так и будет большая часть из 950 млн потенциальных жертв ходить с огромной дырой в защите
+3
Вот интересно, как так получилось, что ОС Windows и Linux для x86-платформы можно установить даже на железо пятилетней давности, не дожидаясь, пока производители сделают для нас специальную сборку, а в случае с ARM-платформами всё завязано на производителей?
И почему две вышеупомянутых ОСи могут получать обновления и патчи без проблем, а Android только переустанавливать целиком? Полное отсутствие модульности?
0
Я не знаю, как google такое допустил. Это просто epic fail

Но факт, что Android движется по пути Symbian, когда девайсы очень быстро становились не поддерживаемыми производителями.

Например, я в прошлом году купил Планшет Pipo u8 (4 ядра, 2 гб) для чтения. На момент покупки был 4.4.2. Через несколько месяцев вышли 4.4.4, а потом и 5. Производитель даже до 4.4.4 не обновил. Хотя планшет был типа топовый в линейке 7,9".

Имхо, я нахожу все меньше смысла в покупке Android с таким подходом. Лучше уже переплатить (usb-otg, карты памяти) за урезанный iPad, но быть уверенным в защищенности.
0
Покупайте нексусы. Или ставьте кастомные прошивки.
0
Нексусы для некоторых целей излишни + большие размеры.

Я думаю, что если покупаешь девайс, то производитель и должен обеспечить его надежность. В сторонних прошивках могут быть вредоносные компоненты.
0
Ой… не ведитесь на эту защищенность. Если ничего не слышно особо про iOS — это не значит, что там сахар. Скорее всего Apple молча платит большие суммы денег за то, чтоб хакеры забыли о найденном.
+1
Там хоть обновления приходят. А тут можно купить телефон на андроид и через полгода: «Сорри, мы прекратили выпуск обновлений для вашего устройства. Вы можете приобрести одно из наших новых устройств»

Хотя у яблока много чего все равно нет.
0
Ну вот люди не понимают же, когда кричат «дайте опенсорс». Андроид дал им это и началось… Представьте, что если бы iOS была бы опенсорсная. Такие вот приколы, как с Андроидом — были бы тоже регулярно.
+2
ОС Windows и Linux установить на произвольное железо пятилетней давности не получится. Получится установить только на то железо, для которого производители или кто-то ещё написал драйверы.

В случае Windows драйверы есть практически на любые потребительские устройства, понятно — почему.

В случае Linux ситуация с драйверами уже не такая прекрасная, но в целом для линукса написано множество драйверов, и очень многие устройства будут работать. Но только потому, что добровольцы или изготовитель написали драйверы.

Также надо понимать, что в случае персонального компьютера изготовитель компонентов это одно лицо, а сборщик компьютера это другое лицо (зачастую сам пользователь).

В случае Android (надо заметить, что под капотом у него тот же Linux) ситуация в корне противоположная. Во-первых устройство продаётся целиком, а не по компонентам. Поэтому драйвер для вашей фотокамеры её изготовитель вам не даст. Он его даст специалистам из Samsung, например. Которые его (и другие драйверы) упакуют в дистрибутив и вы его скачаете в виде обновления.

Во-вторых (тут уже речь пойдёт про Linux vs Windows) в Linux нет стабильного ядерного API. Это значит, что если для устройства были написаны драйверы для версии ядра 3.2, то на ядре 3.0 или 3.3 они могут не заработать. Т.е. драйверы в Linux жёстко привязаны к конкретному ядру. И версии Android так же привязаны к конкретному ядру. Соответственно вам надо ждать, пока ваш производитель соизволит обновить все драйверы под новую версию андроида. А если ему эти драйверы дают без исходников и компания-производитель любого компонента в вашем телефоне перестала выпускать новые драйверы, то у вашего производителя просто нет никаких вариантов дать вам новую мажорную версию андроида.

В Windows ядерное API в целом постабильней, хотя чудес, конечно, не бывает и в Windows 10 ваш драйвер с Windows 2000 может и не запуститься.

В случае персональных компьютеров большинство драйверов под Linux имеют открытые исходники и чаще всего находятся прямо в дереве исходников самого ядра. Поэтому при изменениях в ядре делают изменения и в этих исходниках так, что они продолжают работать.

Поэтому хотите «вечный» андроид — ищите производителя, который будет поставлять все ядерные драйверы к своим устройствам в исходном коде. Тогда есть большая вероятность что он или добровольцы смогут поддерживать эти драйверы в актуальном состоянии и у вас будет возможность запускать любую версию андроида на своём устройстве.
0
Дело не сколько в драйверах, сколько, во-первых, в отсутствии унификации (блин, да у нас все еще не просто универсального загрузчика-то нет, а нет даже стандарта, что и как грузить!), а во-вторых, в том, что не каждому производителю вообще под силу поддерживать конкретный SoC, т.к. это делают разработчики SoC. Производитель SoC не портирует новую версию Android под этот SoC — разработчики телефона не будут и заморачиваться.
0
Для установки патчей в Андроид не нужно переустанавливать систему целиком. Через OTA можно обновить любой компонент, что Google иногда и делает для nexus устройств.
Каждый производитель устройств по сути собирает свою версию ОС на основе исходников из AOSP. Google не имеет никакого представления о том, что было сделано с исходниками перед тем как производитель собрал прошивку. Собственно по этому только производитель и может собрать обновление для распространения.
Например рассмотрим обсуждаемую тут библиотеку stagefright. Это обычная Linux библиотека в виде so файла. Если бы Google собирал бинарники для всех устройств то не было бы никаких проблем распространить обновление через OTA. А по факту получается, что никто кроме производителя не знает в каком виде эта библиотека реально попала в прошивку.
Я бы сказал, что проблема обновления Андроида — это в какой-то степени плата за его open source.
0
$1,337 — я понимаю, «элит» и все такое, но как то кисло выглядит, хоть и было отправлено до запуска bug bounty, могли бы и получше отблагодарить.
0
В конце статьи не хватает голосования.

А что бы Вы сделали если бы нашли уязвимость?
1. Сказали бы Google и получили за это 1.337 USD.
2. Отдали бы Zerodium и 100.000 USD у вас в кармане.
3. Никому не отдам…
0
Не 100 000, а «до 100 000». Во сколько была бы ими реально оценена данная уязвимость, неизвестно.
+5
Исследователи заявляют о том, что защититься от данной уязвимости можно с помощью специальных защитных приложений для мобильных устройств.
Так как защититься то?
0
Одно другому не мешает. Флэш — удивительно дырявая платформа, и это продолжается уже лет десять так.
0
Расскажите это тем, кто удаляет плагины и потом ругается, что без них компы заражаются
Only those users with full accounts are able to leave comments. , please.