Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

pavel2403 · 01-12-11 21:01:57

Обнаруженная уязвимость содержится в смартфонах HTC, Samsung, Motorola и Google используется ненадежными приложениями.

Специалисты в области информационной безопасности обнаружили уязвимость в смартфонах на базе операционной системы Android. Уязвимость позволяет злоумышленникам записывать телефонные разговоры, получать данные о местонахождении пользователей и получать несанкционированный доступ к другой информации.

Смартфоны, которые производятся HTC, Samsung, Google и Motorola и работают на базе Android, содержат уязвимость, эксплуатируемую ненадежными приложениями, заявили ученые из Университета Северной Каролины.

Эксперты отмечают, что брешь позволяет приложениям обойти встроенную функцию безопасности, которая запрашивает разрешение пользователей на доступ к личной информации и функционалу, ответственному за отправку текстовых сообщений. Брешь содержится в интерфейсах и сервисах, которые производители добавляют в устройства, чтобы обеспечить совместимость с ОС Android.

При проведении анализа уязвимости, исследователи разработали приложение под названием Woodpecker, и установили его на восемь смартфонов четырех производителей. Наиболее уязвимым оказался продукт компании HTC EVO 4G, в котором можно было получить доступ к управлению камерой, сервисом отправки сообщений, диктофону, а также информацию о местоположении владельца устройства. Далее по количеству уязвимых функции следует HTC Legend. Epic 3G от Samsung содержал три уязвимых функции, среди которых присутствует возможность удаления данных и приложений с устройства. Nexus One и Nexus S от Google содержали только одну уязвимую функцию.

Эксперты отмечают, что в отличие от устройств iPhone, на которые пользователи могут загружать только приложения, одобренные компанией Apple, Android-рынок не проводит проверку продуктов, предлагаемых пользователям операционной системы. Для того чтобы обезопасить пользователей, Google внедрил в свою ОС функционал, позволяющий пользователям осуществлять контроль над личными данными, к которым могут получать доступ определенные приложения . Перед запуском новой программы, пользователю предоставляется также список данных, к которым ей требуется доступ. Таким образом, пользователи могут отметить установку, если у них появились подозрения по отношению к новому приложению.

Эксперты сняли видеозапись, в которой они демонстрируют, как созданное ими приложение разрешает получить доступ к диктофону и сервису отправки текстовых сообщений на устройстве EVO 4G, без запрашивания разрешения у пользователя. В результате, приложение было способно включить диктофон для записи разговоров. Приложение также способно отправлять текстовые сообщения без ведома пользователя.
www.youtube.com/watch?feature=player_em … GwTviVRcrg

MOP3E · 01-12-11 22:21:09

pavel2403 пишет:

Перед запуском новой программы, пользователю предоставляется также список данных, к которым ей требуется доступ.

Угу, и внезапно оказалось, что абсолютно всем приложениям маркета данные пользователя нужны по максимуму!

Rorschach · 01-12-11 22:31:06

MOP3E пишет:

Угу, и внезапно оказалось, что абсолютно всем приложениям маркета данные пользователя нужны по максимуму!

Да ты чо? Прям так уверен в этом?

pavel2403 · 01-12-11 22:42:06

Rorschach пишет:

Да ты чо? Прям так уверен в этом?

Для тупых в маске

pavel2403 пишет:

Эксперты сняли видеозапись, в которой они демонстрируют, как созданное ими приложение разрешает получить доступ к диктофону и сервису отправки текстовых сообщений на устройстве EVO 4G, без запрашивания разрешения у пользователя.

Rorschach · 01-12-11 22:44:25

pavel2403, Для ОЧЕНЬ тупых без маски

MOP3E пишет:

что абсолютно всем приложениям маркета данные пользователя нужны по максимуму!

pavel2403 пишет:

Эксперты сняли видеозапись, в которой они демонстрируют, как созданное ими приложение

Ты бы как чукча сначала научился считать от одного до много. Рекомендую. Потом плавно переходить к счету от 1 до 10. big_smile

hodok78 · 01-12-11 22:52:42

Rorschach, да херовое ядро они взяли за основу, еще раз- хе-ро-во-е. И очень сыро они это запилили.

TrollWINNT · 01-12-11 23:39:26

hodok78 пишет:

Rorschach, да херовое ядро они взяли за основу, еще раз- хе-ро-во-е. И очень сыро они это запилили.

Ядро может и не настолько херовое, но сделано все в самом деле очень сыро. Почему то со всеми продуктами гугла ощущаеш себя бэта тестером каким то smile .

Rorschach · 02-12-11 08:20:27

hodok78, Да дело& е в ведре а в виртуальной машине, где гоняется все это безобразие.

TrollWINNT, А в выньфоне не?

usr_share · 02-12-11 08:30:48

Если вы не заметили, ядро в этих уязвимостях не фигурирует ни разу.

Брешь содержится в интерфейсах и сервисах, которые производители добавляют в устройства, чтобы обеспечить совместимость с ОС Android.

То есть мало того, что уязвимости нет в ядре, её нет ещё и в самом (дефолтном) андроиде, а наличествует она лишь в прошивках использующих андроид девайсов.

И я очень сильно прошу в таких новостях различать, где именно виноваты разработчики ядра Linux, а где -- гугловские программисты.

Отредактировано usr_share (02-12-11 08:31:25)

selenscy · 02-12-11 10:44:04

А какая разница как ОС эту имеют? Через сервис, интерфейс или что то другое?
Как я понимаю вы усиленно продолжаете верить в непогрешимость и святость ЙАДРА smile Толку то ? Хы-хы!!!

Rorschach · 02-12-11 11:01:16

selenscy пишет:

Как я понимаю вы усиленно продолжаете верить в непогрешимость и святость ЙАДРА

Хы-хы! Да с чего ты взял, что йадро ниуязвимо то? Оно менее уязвимо чем сервисы и виртуальная машина педроида. Как то так.

usr_share · 02-12-11 11:21:29

selenscy пишет:

Как я понимаю вы усиленно продолжаете верить в непогрешимость и святость ЙАДРА smile Толку то ? Хы-хы!!!

Ядро, быть может, и уязвимо, только почему вы перекладываете вину даже в тех ситуациях, где ядро вообще значения не имеет, на разработчиков именно ядра?

Отредактировано usr_share (02-12-11 11:31:16)

Невропаразитолог · 02-12-11 19:02:03

usr_share пишет:

Ядро, быть может, и уязвимо, только почему вы перекладываете вину даже в тех ситуациях, где ядро вообще значения не имеет, на разработчиков именно ядра?

Дык помниццо, во времена разгара Великого холивара Вин/Лин было, что линуксоиды аргументировали срочную необходимость перехода на СПО примерно вот так: "Система должна быть безопасной и не позволять себя разрушать или портить данные пользователя". То есть виновата именно система, которая должна быть очень безопасной, а не такой дырявой. Виндузятники возвращают вам "должок". smile

Отредактировано Невропаразитолог (02-12-11 19:03:34)

usr_share · 02-12-11 20:14:34

Невропаразитолог пишет:

Дык помниццо, во времена разгара Великого холивара Вин/Лин было, что линуксоиды аргументировали срочную необходимость перехода на СПО примерно вот так: "Система должна быть безопасной и не позволять себя разрушать или портить данные пользователя".

Я так похож на ветерана этой войны?

Я не знаю, когда именно этот ваш великий холивар шёл, подскажите, пожалуйста, годы.

MOP3E · 06-12-11 19:35:16

usr_share пишет:

Я не знаю, когда именно этот ваш великий холивар шёл, подскажите, пожалуйста, годы.

1997 - 2011.

Отредактировано MOP3E (06-12-11 19:35:32)

usr_share · 06-12-11 20:54:52

MOP3E пишет:

1997 - 2011.

Отлично.

Невропаразитолог пишет:

"Система должна быть безопасной и не позволять себя разрушать или портить данные пользователя"

Это относилось к отсутствию защиты адресного пространства (как и нормальной многопользовательской работы) в Windows 9x/ME. С популяризацией виндов 2000/XP эта проблема технически сошла на нет, с чем я и поздравляю виндузятников. Тем более, что я сам достаточно пользовался виндой в своё время и до сих пор помню, как можно защитить "хрюшу" от большинства напастей доступными из коробки средствами.

Добавлено спустя 02 мин:
Относительно этой же дыры -- лично мне обидно, когда разработчики проприетарного ПО при попытке взаимодействия со свободным ПО совершают такие криворукости. (см. также пример с glibc, memcpy() и Adobe Flash).

straus · 07-12-11 12:37:01

selenscy пишет:

А какая разница как ОС эту имеют? Через сервис, интерфейс или что то другое?
Как я понимаю вы усиленно продолжаете верить в непогрешимость и святость ЙАДРА smile Толку то ? Хы-хы!!!

Т.е. если Вы под MacOS X установили мс офис и открыли, в последнем, документ содержащий макровирус, активировав макросы, даже после предупреждения о том, что это не безопасно, после этого можно утверждать, MacOS X имеет уязвимость. Я правильно Вашу логику понял?

MOP3E пишет:

Луноходы - тупые. Сначала в линуховом сишнике десятилетиями была кривая memcpy(), про которую все знали, что она работает вот так и только так, и поэтому достаточно часто использовали её недокументированные возможности. Потому какому-то идиоту захотелось переписать функцию по-другому, "правильно", и теперь весь этот зоопарк программ, где использовались недокументированные возможности старой версии функции, не работает! Но по луноходной логике виноваты, естественно, программисты, а не тот дебил, который нарушил совместимость библиотеки с десятками уже написанных программ.

Если на трансформаторной будке было нарисовано "Опасно. Высокое напряжение" и ты всегда в неё лазил не заботясь о технике безопасности, поскольку в ней не было электричества (и про это все знали). И в какой-то момент его (электричество) включили и тебя прибило током, подскажите, Морзе, кто тупой?
И ещё, неужели предыдущие версии с недокументированнымпривычным поведением memcpy отменили?
Не уверен - не обновляй!

Tiphon пишет:

Клиент всегда не прав (с) ОС Линукс

А у разработчиков glibc кто клиенты и кто из них оказался "не прав"?

Tiphon · 08-12-11 08:10:20

Спор о Линусе далее тут
stoplinux.org.ru/forum/viewtopic.php?id=2212

Форум StopLinux

Объявление

#1 01-12-11 21:01:57

Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#2 01-12-11 22:21:09

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#3 01-12-11 22:31:06

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#4 01-12-11 22:42:06

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#5 01-12-11 22:44:25

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#6 01-12-11 22:52:42

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#7 01-12-11 23:39:26

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#8 02-12-11 08:20:27

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#9 02-12-11 08:30:48

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#10 02-12-11 10:44:04

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#11 02-12-11 11:01:16

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#12 02-12-11 11:21:29

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#13 02-12-11 19:02:03

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#14 02-12-11 20:14:34

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#15 06-12-11 19:35:16

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#16 06-12-11 20:54:52

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#17 07-12-11 12:37:01

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

#18 08-12-11 08:10:20

Re: Уязвимость в ОС Android позволяет записывать телефонные разговоры поль

Подвал форума