Chyba v MediaServeru systému Android

ROOT jsem mel za web pro IT odborniky ..... hadam, ze nikdo, kdo trosku hovi IT (spolu s celym enterprise segmentem) by nenechal nic s androidem projit dverma sveho baraku, takze informace, ze android je stale deravy a byla nalezena dalsi a dalsi kriticka chyba, ktera na naproste vetsine zarizeni zustane navzdy bez zaplaty, je tak nejak mimo misu .... tohle je znama "featura" androidu, proto je android v enterprise a IT segmentu defakto sproste slovo .....

Keby som nepouzival zariadenia, ktore su nejakym sposobom napadnutelne, tak chodim pesi, spim v jaskyni a na vypocty pouzivam asi len kamienky (mozno aj kalkulacku - ked to vie +-*/ asi tazko to niekto hackne)

Problém není v tom, že je v Androidu nalezena díra. Problém je v tom, že po světě putujou stovky milionu telefonů, na které se nikdy nedostane žádná záplata, narozdíl od konkurence.

nepouzivam android zarizeni, nicmene me okoli z 99% ano, tedy informace o zranitelnosti je dobre vedet...
ty pouzivas neco co nema chyby? pouzivas kelimky propojene provazkem? nebo pouzivas neco co stoji za hovno a/nebo to neni rozsirene a proto se o tech chybach co tam jsou moc nevi?

nevim jak on, ale ja treba vubec nepouzivam smartphone (mam 10 let starou "blbou" nokii), ani tablet ani jinou ptakovinu.

takze narozdil od neho ale nemluvis o enterprise, tam 10let stare blbe nokie se pred 7rokama vyhazovali ;)

btw: jak si se psacim strojem dostal na internet? jestli k tomu pouzivas postovni holuby, tak musej byt sakra rychli kdyz za 8minut ti stihla sluzba kterou vyuzivas vytisknout muj prispevek, poslat ho po holubu, ty jsi ho precetl, na stroji napsal odpoved, poslal po holubu zpet a oni to na root prepsali... takova rychlost bude asi misto holubu spis potrubni posta a pises to rukou ne ?

Nechci rejpat, ale holub se dá hacknout, hrozí spuštění cizího kódu rozhodně (virus) i mitm, DOS, DDOS (stačí nasypat zrní) a bezpečnostní updaty nejsou.

"pouzivas kelimky propojene provazkem?"

Tam hrozí MITM :-)

to je pravda, tak ani to neni bezpecne... navic je to rusene ruznejma tvorama co si na to sednou, vrti se, vrni, poskakujou nebo bzuci :)

tam hrozi nuzky...

Ad: ... nikdo, kdo trosku hovi IT (spolu s celym enterprise segmentem) by nenechal nic s androidem projit dverma sveho baraku ...

Pisete to, jako kdyby snad existoval system bez bezpecnostnich der. Takove systemy existuji v teorii, ale ne v praxi.

Soucasny Android je postaveny na SELinuxu v enforcing modu, ma bezpecnostni aktualizace vybranych systemovych komponent pres Google Play (blize viz https://static.googleusercontent.com/media/source.android.com/en//devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf) a rada velkych vyrobcu onamila, ze budou poskytovat bezpecnostni aktualizace (psalo se o tom in na ROOTu). Pracuje se na aplikacich pro enterprise sektor, viz https://www.android.com/work/.

Proste enterprise sektor si bude muset priplatit za mobily, u kterych budou vyrobci garantovat bezpecnostni aktualizace.

Neco mi rika, ze v enterprise sektoru to gugl svoji neschopnosti na vzdy prokaucoval ...... ze vyrobci slibili, ale kolik skutecnych zarizeni dostane opravu? Jenom ty nejdrazsi a jenom maximalne rok nazpatek ..... starsi nebo levnejsi maji smulu:)

Ad: Neco mi rika, ze v enterprise sektoru to gugl svoji neschopnosti na vzdy prokaucoval

To neco jsou zamestnanci Microsoftu, kteri bojuji za prosazeni sve platformy. Takove reci je treba brat s hodne velkou rezervou.

Pokud chcete videt veci realisticky, tak si prectete ten report. Nebezpecne jsou tzv. "potencialne skodlive aplikace" (PHA) a "vylepseni" od vyrobcu mobilu. Android pro podnikovou sferu ma centralni spravu aplikaci. To zabranuje, aby si uzivatele ty PHA instalovali. V druhem pripade pak maji podniky moznost kupovat od vyrobcu, kteri pouzivaji vetsinu SW od Google.

Diskutujete na ROOTu, a tak predpokladam, ze vite, co je SELinux. Kdyz ne, tak si o nem neco prectete. Mimochodem: o pouziti Androidu jako zakladu uvazuje i BlackBerry.

Jak jsem jiz psal: vybrane systemove komponenty jiz JSOU updatovany pres Google Play. Tam neni treba cekat na OT update od vyrobce nebo operatora.

Seznam zarizeni doporucovanych Google pro Android for Work je zde: https://www.google.com/work/android/features/devices.html . Je tam napriklad: Motorola Moto E a X, Nexus 5 a 6, Samsung S6 a S6 Edge, Sony Experia Z3. Predpokladam, ze tato zarizeni provadi bezpecnostni aktualizace.

Pro enterprise nasazeni s vysokymi pozadavky na bezpecnost jsou urcena zarizeni doporucovana zde: https://www.google.com/work/android/features/devices/regulated.html . Jmenovite: Samsung Galaxy S6 a Blackphone.

Neskodilo by, pokud by se na root.cz obcas objevil clanek o enterprise nasazeni Androidu, iOS, ... Obecne povedomi o teto oblasti IT je mezi sirokou verejnosti velmi spatne.

Mno ... a co teprve M$, kterej tem lidem nejdriv prodal mobil s widlema, a po 1/2 roce jim radostne oznamil, ze tyhle widle uz dal supportovat nebude, at si koupej novej s novejma widlema... a ti co to udelali, se po dalsim 1/2 roce rozvedeli, ze je to neperspektivni platforma, a ze ponovu bude vsechno jen na desktopovych widlich. A deravy je to 10x vic, jen se o tom tolik nepise, protoze to prakticky nikdo nema.

A nevadi Vam, ze vsechno to, co pisete ohledne bezpecnostnich vlastnosti Androidu, nezabrani pripadnemu utocnikovi ve zneuziti v posledni dobe nalezenych chyb? A ze na majorite aktualne provozovanych zarizeni to tak i zustane?

Ale muze nas hrat u srdce, ze to vse ostrym okem sleduje SELinux, misty dokonce i v enforced modu!

Mam tu homadu kramu s CEckama, nevadi ti ze je nikdy nikdo neopatchuje a ze sou deravy jak reseto? Prast jako uhod.

A používáš je?

V kazdem clanku o zranitelnosti Androida nebo i iOS je napsano: Utocnik musi presvedcit uzivatele, aby si nainstaloval napadenou aplikaci. Pak muze byt telefon potencialne zneuzit. Pokud se tato aplikace nesiri pres Google Play tak vubec nevim, jak by si BFU ten telefon nakazil. Lidi nic o instalaci z alternativnich marketu nevedi. Mnozi ani neznaji Google Play. Pokud si budu na jakoukoliv platformu instalovat sracky, pak se nemuzu divit. Rozdavejte rootovsky heslo na pockani na internetuba uvidime, jak dlouho bude Linux nebo Mac v pohode. Na Widlich je to uplne v zadku. Tam kazdej odklikne cokoliv se mu na obrazovce objevi.

1. Android je stavěný tak, že aplikace běží v sandboxu a nemohou se vzájemně ovlivňovat. Problém je v tom, že ten sandbox je děravý jako cedník. Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.

2. V řadě případů není vůbec potřeba nic instalovat. Stačí například když oběti pošlete MMS. Došlo to tak daleko, že řada operátorů MMS úplně zakázala. Bohužel se to týká i multimédia files přijatých jinými kanály, například přes instant messaging klienty.
http://www.root.cz/zpravicky/mnoho-telefonu-s-androidem-je-mozne-hacknout-jen-pomoci-mms/

Další lahůdkou je například zranitelnost v komponentě WebView, která postihovala až 70% telefonů s Androidem, a kterou Google pro starší verze odmítl opravit. Pro napadení telefonu stačilo navštívit webovou stránku, nebo použít aplikaci která WebView interně používá.
http://www.net-security.org/secworld.php?id=16385

3. API Androidu poskytuje funkce, které musejí autorům malwaru udělat radost. Pokud například existuje možnost na pozadí odeslat SMS nebo vytočit číslo, bez interakce s uživatelem, tak se logicky objeví malware, který toho zneužívá. Když k tomu přičtete chyby v ověřování podpisů instalovaných aplikací (řada master key bugs), to že aplikace při updatech mohou bez dotazu povyšovat oprávnění apod., tak je to celkem katastrofa.

4. Systém aktualizací Androidu je rozbitý. Google sice vydává opravy se zpožděním a často zanedbává staré verze Androidu, ale to není hlavní problém. Distribuce oprav je zajišťovaná výrobci zařízení a/nebo operátory, a ti na starší telefony (bohužel často i na nové) zvysoka kašlou. Přitom Google by klidně mohl stanovit distribuci patchů výrobcem telefonu jako podmínku pro uzavření smlouvy o používání Google Mobile Services.

5. Výsledkem je nejen to že telefony s Androidem posílají spoustu dat kamsi do cloudu, ale navíc jich desítky procent zůstávají trvale děravé. Přitom v řadě zemí je pro zákazníky pořízení smartphonu investicí srovnatelnou s investicí Evropana do pořízení automobilu. Telefon těm lidem slouží jako mobilní banka, umožňuje jim prodávat sklizeň, být v kontaktu s rodinou a přáteli atd. Přesně tihle lidé jsou nejzranitelnější díky roli telefonu v jejich životě, nedostatku technických znalostí, koupi levných telefonů a nedostatku prostředků na koupi nového telefonu.

Podle zde mnohokrat zminovaneho reportu (https://static.googleusercontent.com/media/source.android.com/en//devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf) jsou bezpecnostni problemy Androidu jinde, nez zde popisujete. Ocividne se ridite pouckou, ze tisickrat opakovana lez se stava pravdou.

A porad dokola: v tom reportu nic zajimaveho neni.

Pro vas mozna ne, ale pro naprostou vetsinu lidi zde ano. Mrzi me, ze kdyz toho tolik vite, tak ze neodpovite na ty lzi a polopravdy, co zde nekteri lide siri.

Na jedne strane muzete mit bezpecnostni diru, kterou se pokousi vyuzit nekolik desitek aplikaci. Kdyz to prozkoumate bliz, tak zjistite, ze se jedna o proof-of-concept aplikace bezpecnostnich expertu, a ze zadna z nich neni mezi lidmi.

Na druhou stranu muzete mit aplikaci, ktera zadnou bezpecnostni diru nevyuziva, ale zato je ransomware (treba znemozni pouziti mobilu dokud nezaplatite) nebo SMS fraud (rozesila SMS-ky jinam, nez kam chce uzivatel).

Ktera z tech dvou hrozeb je pro uzivatele nebezpecnejsi? Z meho pohledu jednoznacne ta druha. Jenomze tahle hrozba se tyka vsech operacnich systemu, ne jen Androidu. Proto o ni LO strategicky mlci.

Jenže vám v odpovědi bylo několikrát psáno, že Google popsané problémy v tom svém reportu nezmiňuje a neřeší. Takže je to jako kdyby Policie ČR vydala zprávu o krádežích aut, a vy byste tvrdil, že to dokazuje, že vloupání a loupeže proto nejsou žádný problém.

Ach jo. Takze jeste jednou a doufejme, ze naposled.

Ad 1: Problém je v tom, že ten sandbox je děravý jako cedník.

SELinux v enforcing modu zavedl Android 5. Uvedte CVE vami zminovanych der pro tuto verzi.

Ad 1: Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.

Ten report zcela jasne vysvetluje, ze jde problem, ktery nema obecne reseni (v zadnem operacnim systemu). V specialnich pripadech (zname utoky, podezrele chovani aplikace) je skodliva aplikace automaticky z Google Play odstranena. Kontrola se provadi i u aplikace stazenych mimo Google Play!

Ad 2: Stačí například když oběti pošlete MMS.

K tehle chybe z 2015 se report z roku 2014 vyjadrovat nemuze. Workaround je znamy, v jakem stavu je patchovani nevim.

Ad 2: Další lahůdkou je například zranitelnost v komponentě WebView

Android 5 a vyssi updatuje WebView pres Google Play: With Android 5.0, WebView can now be updated by Google independent of the Android framework and without a system OTA.

Ad 3: Pokud například existuje možnost na pozadí odeslat SMS nebo vytočit číslo, bez interakce s uživatelem, ...

Starting with Android 4.2, Android provides a user confirmation prompt prior to an application sending an SMS to a shortcode that might result in a premium service. SafetyNet aggregates these events and uses them as a signal for identifying Potentially Harmful Applications that attempt to use premium services without user consent.

Ad 4: Systém aktualizací Androidu je rozbitý.

U noveho Androidu se vybrane systemove komponenty instaluji pres Google Play. Vyrobci (Samsung, LG, Sony) nedavno prislibili zavedeni aktualizaci.

Ad 5: ... navíc jich desítky procent zůstávají trvale děravé

Obecna rada zni: Keep your device updated to the latest version at all times. If an update is not available for your device, manually install an OS like CyanogenMod that support older devices for a longer period of time.

Aby bylo jasno: Nepopiram, ze stare verze Androidu maji bezpecnostni problemy, a ze u nich aktulizace nebyly dobre vyreseny. A nelibi se mi to. Jsem ale rozhodne proti vasemu zevseobecnovani typu "Byly tam chyby, a proto je Android spatny." Google se z tech chyb poucil a nove verze na tu bezpecnost dbaji mnohem vic. Je treba si uvedomit, ze v dobe, kdy se zavadel Andoid < 4.x se mobil pro bankovni aplikace nepouzival a nikdo kriticka data v cloudu nemel. Situace se zmenila a Google na to zareagoval.

Nyni je treba donutit vyrobce, aby dostatecne aktualizace byly zajisteny i u low-end modelu. Osobne se domnivam, ze to neni snadny ukol. Napriklad iPhone 4s (8 GB) _bezneho_ uzivatele se pres OTA upgradovat neda, protoze nema dost volne pameti. Je treba upgradovat pres iTunes (ma osobni zkusenost). Androidove low-endy maji volne pameti jeste mene. Takze i v tomhle pripade se to bude muset delat pres pocitac. Je snad jasne, proc se do toho vyrobci mobilu nehrnou.