Názory k článku
Chyba v MediaServeru systému Android
-
xifla (neregistrovaný)
ROOT jsem mel za web pro IT odborniky ..... hadam, ze nikdo, kdo trosku hovi IT (spolu s celym enterprise segmentem) by nenechal nic s androidem projit dverma sveho baraku, takze informace, ze android je stale deravy a byla nalezena dalsi a dalsi kriticka chyba, ktera na naproste vetsine zarizeni zustane navzdy bez zaplaty, je tak nejak mimo misu .... tohle je znama "featura" androidu, proto je android v enterprise a IT segmentu defakto sproste slovo .....
-
nobody (neregistrovaný)
nepouzivam android zarizeni, nicmene me okoli z 99% ano, tedy informace o zranitelnosti je dobre vedet...
ty pouzivas neco co nema chyby? pouzivas kelimky propojene provazkem? nebo pouzivas neco co stoji za hovno a/nebo to neni rozsirene a proto se o tech chybach co tam jsou moc nevi? -
nobody (neregistrovaný)
takze narozdil od neho ale nemluvis o enterprise, tam 10let stare blbe nokie se pred 7rokama vyhazovali ;)
btw: jak si se psacim strojem dostal na internet? jestli k tomu pouzivas postovni holuby, tak musej byt sakra rychli kdyz za 8minut ti stihla sluzba kterou vyuzivas vytisknout muj prispevek, poslat ho po holubu, ty jsi ho precetl, na stroji napsal odpoved, poslal po holubu zpet a oni to na root prepsali... takova rychlost bude asi misto holubu spis potrubni posta a pises to rukou ne ?
-
888 (neregistrovaný)
Ad: ... nikdo, kdo trosku hovi IT (spolu s celym enterprise segmentem) by nenechal nic s androidem projit dverma sveho baraku ...
Pisete to, jako kdyby snad existoval system bez bezpecnostnich der. Takove systemy existuji v teorii, ale ne v praxi.
Soucasny Android je postaveny na SELinuxu v enforcing modu, ma bezpecnostni aktualizace vybranych systemovych komponent pres Google Play (blize viz https://static.googleusercontent.com/media/source.android.com/en//devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf) a rada velkych vyrobcu onamila, ze budou poskytovat bezpecnostni aktualizace (psalo se o tom in na ROOTu). Pracuje se na aplikacich pro enterprise sektor, viz https://www.android.com/work/.
Proste enterprise sektor si bude muset priplatit za mobily, u kterych budou vyrobci garantovat bezpecnostni aktualizace.
-
888 (neregistrovaný)
Ad: Neco mi rika, ze v enterprise sektoru to gugl svoji neschopnosti na vzdy prokaucoval
To neco jsou zamestnanci Microsoftu, kteri bojuji za prosazeni sve platformy. Takove reci je treba brat s hodne velkou rezervou.
Pokud chcete videt veci realisticky, tak si prectete ten report. Nebezpecne jsou tzv. "potencialne skodlive aplikace" (PHA) a "vylepseni" od vyrobcu mobilu. Android pro podnikovou sferu ma centralni spravu aplikaci. To zabranuje, aby si uzivatele ty PHA instalovali. V druhem pripade pak maji podniky moznost kupovat od vyrobcu, kteri pouzivaji vetsinu SW od Google.
Diskutujete na ROOTu, a tak predpokladam, ze vite, co je SELinux. Kdyz ne, tak si o nem neco prectete. Mimochodem: o pouziti Androidu jako zakladu uvazuje i BlackBerry.
Jak jsem jiz psal: vybrane systemove komponenty jiz JSOU updatovany pres Google Play. Tam neni treba cekat na OT update od vyrobce nebo operatora.
-
Ty jsi tim enterprise sektorem nejaky posedly. Muzes tedy prozradit, jaky SW a HW pouziva enterprise sektor a IT odbornici? Predpokladam, ze v tom nebudou kriticke chyby? Nebo jsi mimo misu?
> Jenom ty nejdrazsi a jenom maximalne rok nazpatek
To ze mam 2 roky stare zarizeni ktere stale dostava aktualizace je ponekud v rozporu s tvym vyrokem. Takze taky mimo misu?
-
pfp (neregistrovaný)
Seznam zarizeni doporucovanych Google pro Android for Work je zde: https://www.google.com/work/android/features/devices.html . Je tam napriklad: Motorola Moto E a X, Nexus 5 a 6, Samsung S6 a S6 Edge, Sony Experia Z3. Predpokladam, ze tato zarizeni provadi bezpecnostni aktualizace.
Pro enterprise nasazeni s vysokymi pozadavky na bezpecnost jsou urcena zarizeni doporucovana zde: https://www.google.com/work/android/features/devices/regulated.html . Jmenovite: Samsung Galaxy S6 a Blackphone.
Neskodilo by, pokud by se na root.cz obcas objevil clanek o enterprise nasazeni Androidu, iOS, ... Obecne povedomi o teto oblasti IT je mezi sirokou verejnosti velmi spatne.
-
j (neregistrovaný)
Mno ... a co teprve M$, kterej tem lidem nejdriv prodal mobil s widlema, a po 1/2 roce jim radostne oznamil, ze tyhle widle uz dal supportovat nebude, at si koupej novej s novejma widlema... a ti co to udelali, se po dalsim 1/2 roce rozvedeli, ze je to neperspektivni platforma, a ze ponovu bude vsechno jen na desktopovych widlich. A deravy je to 10x vic, jen se o tom tolik nepise, protoze to prakticky nikdo nema.
-
Cohen (neregistrovaný)
A nevadi Vam, ze vsechno to, co pisete ohledne bezpecnostnich vlastnosti Androidu, nezabrani pripadnemu utocnikovi ve zneuziti v posledni dobe nalezenych chyb? A ze na majorite aktualne provozovanych zarizeni to tak i zustane?
Ale muze nas hrat u srdce, ze to vse ostrym okem sleduje SELinux, misty dokonce i v enforced modu!
-
Jenda (neregistrovaný)
V kazdem clanku o zranitelnosti Androida nebo i iOS je napsano: Utocnik musi presvedcit uzivatele, aby si nainstaloval napadenou aplikaci. Pak muze byt telefon potencialne zneuzit. Pokud se tato aplikace nesiri pres Google Play tak vubec nevim, jak by si BFU ten telefon nakazil. Lidi nic o instalaci z alternativnich marketu nevedi. Mnozi ani neznaji Google Play. Pokud si budu na jakoukoliv platformu instalovat sracky, pak se nemuzu divit. Rozdavejte rootovsky heslo na pockani na internetuba uvidime, jak dlouho bude Linux nebo Mac v pohode. Na Widlich je to uplne v zadku. Tam kazdej odklikne cokoliv se mu na obrazovce objevi.
-
Nemusi. Nastesti tu mame starsi chyby. http://www.root.cz/zpravicky/zranitelnost-v-systemu-android-umoznujici-eskalaci-prav/
-
Lael Ophir (neregistrovaný)
1. Android je stavěný tak, že aplikace běží v sandboxu a nemohou se vzájemně ovlivňovat. Problém je v tom, že ten sandbox je děravý jako cedník. Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.
2. V řadě případů není vůbec potřeba nic instalovat. Stačí například když oběti pošlete MMS. Došlo to tak daleko, že řada operátorů MMS úplně zakázala. Bohužel se to týká i multimédia files přijatých jinými kanály, například přes instant messaging klienty.
http://www.root.cz/zpravicky/mnoho-telefonu-s-androidem-je-mozne-hacknout-jen-pomoci-mms/Další lahůdkou je například zranitelnost v komponentě WebView, která postihovala až 70% telefonů s Androidem, a kterou Google pro starší verze odmítl opravit. Pro napadení telefonu stačilo navštívit webovou stránku, nebo použít aplikaci která WebView interně používá.
http://www.net-security.org/secworld.php?id=163853. API Androidu poskytuje funkce, které musejí autorům malwaru udělat radost. Pokud například existuje možnost na pozadí odeslat SMS nebo vytočit číslo, bez interakce s uživatelem, tak se logicky objeví malware, který toho zneužívá. Když k tomu přičtete chyby v ověřování podpisů instalovaných aplikací (řada master key bugs), to že aplikace při updatech mohou bez dotazu povyšovat oprávnění apod., tak je to celkem katastrofa.
4. Systém aktualizací Androidu je rozbitý. Google sice vydává opravy se zpožděním a často zanedbává staré verze Androidu, ale to není hlavní problém. Distribuce oprav je zajišťovaná výrobci zařízení a/nebo operátory, a ti na starší telefony (bohužel často i na nové) zvysoka kašlou. Přitom Google by klidně mohl stanovit distribuci patchů výrobcem telefonu jako podmínku pro uzavření smlouvy o používání Google Mobile Services.
5. Výsledkem je nejen to že telefony s Androidem posílají spoustu dat kamsi do cloudu, ale navíc jich desítky procent zůstávají trvale děravé. Přitom v řadě zemí je pro zákazníky pořízení smartphonu investicí srovnatelnou s investicí Evropana do pořízení automobilu. Telefon těm lidem slouží jako mobilní banka, umožňuje jim prodávat sklizeň, být v kontaktu s rodinou a přáteli atd. Přesně tihle lidé jsou nejzranitelnější díky roli telefonu v jejich životě, nedostatku technických znalostí, koupi levných telefonů a nedostatku prostředků na koupi nového telefonu.
-
ean (neregistrovaný)
Podle zde mnohokrat zminovaneho reportu (https://static.googleusercontent.com/media/source.android.com/en//devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf) jsou bezpecnostni problemy Androidu jinde, nez zde popisujete. Ocividne se ridite pouckou, ze tisickrat opakovana lez se stava pravdou.
-
Cohen (neregistrovaný)
Vy mi nerozumíte, Vámi zmiňovaný report shrnuje bezpečnostní opatření Androidu do nic neříkajících všeobecných vět na prvních pěti stránkách, načež se dále věnuje bezpečnosti Play store. A konstatuje, že "za mé služby se nic zvláštního nestalo", jen k tomu doplňuje spoustu grafů. Ale bezpečnost OS se nedá odbýt tím, že se Vám nemůže nic stát, protože Vám nic nebezpečného nepošleme. To je bezpečnost jak ve slepičárně - venku obchází sekuriťák se psem, ale jak se dostane škodná dovnitř, začne mazec. Neříkám, že je na tom Android takhle špatně, ale přesně tak se k tomu staví ten report.
Jinak jsem přesvědčen, že většina zdejších čtenářů si je velmi dobře vědoma bezpečnostního modelu Androidu a stejně jako já se zájmem sleduje změny v nových verzích, jen s trošku trpkou příchutí, kdy že se objeví na mém zařízení (to nevyčítám Googlu). A to, že se tu vyskytují nepřesnosti v diskuzích mne nechává poměrně chladným (určitě i já nějaké generuji), nejsem apoštol, abych se za Android bil do krve, z toho jsem už vyrostl. Chci bezpečný systém. A ne za rok, za měsíc, v novém zařízení, ale teď. Je bezpředmětné se bavit o tom, že v této sezoně jsou ke koupi GMO ovce, dštící v nebezpečí oheň, když mi nahoře na pastvinách vlci trhají bezbranné obsoleted unsupported stádo na kusy.
-
ean (neregistrovaný)
Na jedne strane muzete mit bezpecnostni diru, kterou se pokousi vyuzit nekolik desitek aplikaci. Kdyz to prozkoumate bliz, tak zjistite, ze se jedna o proof-of-concept aplikace bezpecnostnich expertu, a ze zadna z nich neni mezi lidmi.
Na druhou stranu muzete mit aplikaci, ktera zadnou bezpecnostni diru nevyuziva, ale zato je ransomware (treba znemozni pouziti mobilu dokud nezaplatite) nebo SMS fraud (rozesila SMS-ky jinam, nez kam chce uzivatel).
Ktera z tech dvou hrozeb je pro uzivatele nebezpecnejsi? Z meho pohledu jednoznacne ta druha. Jenomze tahle hrozba se tyka vsech operacnich systemu, ne jen Androidu. Proto o ni LO strategicky mlci.
-
Cohen (neregistrovaný)
Hmm, teď jste to ale celkem zabil. Pro mne je o dost větší problém, když se šíří nějaký botnet díky bezpečnostní chybě, třeba i delší dobu sbírá zajímavé údaje, může na mě nasměrovat jako na proxy policii apod. Víte, že se zero-day zranitelnosti celkem běžně prodávají? A ne za málo.
Druhou hrozbu nevyřešíte jinak, než otravnými dotazy u rizikových akcí a edukací uživatelů, nemůžete potomkovi až do stáří oblepovat ostré rohy a podávat dudlík, musí se do určité míry o sebe postarat sám, tohle riziko existuje i ve fyzickém světě.
-
Nemyslite, ze kdyz se neco objevi jako proof-of-concept a je to zajimave tim, ze existuji miliony zarizeni s vhodnou dirou, ktera nikdo nebude zaplatovat, ze zitra z toho muze byt uz cele hafo funkcnich exploitu? Nedivili bych si, kdyby tymy kyberkriminalniku a vselijakych agentur uz jely v berserk modu na vyvoji vlastniho exploitu. Takovy darek nedostanou kazdy den.
-
ean (neregistrovaný)
Muj osobni nazor je, ze bezpecnostni chyby se maji zaplatovat co nejdriv. Tecka.
Na druhou stranu ale nemuzu nevidet prakticke duvody, ktere mohou vest vyrobce k tomu, ze se opravy nekterych bezpecnostnich chyb aplikuji az ve chvili, kdy diry zacnou byt skutecnou hrozbou. Mimochodem: Jakmile je dira vyuzivana botnetem, tak uz nejde o proof of concept.
Opravy bezpecnostnich der u mobilu jsou dulezite pro bezpecnost komunikacni infrastruktury celeho statu. Zvlast s ohledem na terorismus a cyberwarfare. Osobne se domnivam, ze stat by mel vytvorit vetsi tlak na vyrobce, aby telefony podporovali po dobu nekolika let. Jestli to maji byt dva roky nebo vice let, je otazka do diskuze. Soucasna situace, kdy vyrobce poskytuje dvouletou zaruku na HW ale zadnou zaruku na SW je ocividne nevyhovujici. Je mi jasne, ze za takove nazory by me zastanci volneho trhu uloukli cepicemi. Ale volny trh nedonuti bezne lidi kupovat Nexusy, iPhony, BlackBerry, ... protoze na ne nemaji penize.
-
Ondra Satai NekolaZlatý podporovatelSouhlas s tím, že patchovat, patchovat, patchovat. A ve volných chvílích patchovat.
Ale terorismus a kyberválka mi jako dost dobrý důvod nepřijdou, jsou spíš přeceňované vějičky.
-
ean (neregistrovaný)
Ach jo. Takze jeste jednou a doufejme, ze naposled.
Ad 1: Problém je v tom, že ten sandbox je děravý jako cedník.
SELinux v enforcing modu zavedl Android 5. Uvedte CVE vami zminovanych der pro tuto verzi.
Ad 1: Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.
Ten report zcela jasne vysvetluje, ze jde problem, ktery nema obecne reseni (v zadnem operacnim systemu). V specialnich pripadech (zname utoky, podezrele chovani aplikace) je skodliva aplikace automaticky z Google Play odstranena. Kontrola se provadi i u aplikace stazenych mimo Google Play!
Ad 2: Stačí například když oběti pošlete MMS.
K tehle chybe z 2015 se report z roku 2014 vyjadrovat nemuze. Workaround je znamy, v jakem stavu je patchovani nevim.
Ad 2: Další lahůdkou je například zranitelnost v komponentě WebView
Android 5 a vyssi updatuje WebView pres Google Play: With Android 5.0, WebView can now be updated by Google independent of the Android framework and without a system OTA.
Ad 3: Pokud například existuje možnost na pozadí odeslat SMS nebo vytočit číslo, bez interakce s uživatelem, ...
Starting with Android 4.2, Android provides a user confirmation prompt prior to an application sending an SMS to a shortcode that might result in a premium service. SafetyNet aggregates these events and uses them as a signal for identifying Potentially Harmful Applications that attempt to use premium services without user consent.
Ad 4: Systém aktualizací Androidu je rozbitý.
U noveho Androidu se vybrane systemove komponenty instaluji pres Google Play. Vyrobci (Samsung, LG, Sony) nedavno prislibili zavedeni aktualizaci.
Ad 5: ... navíc jich desítky procent zůstávají trvale děravé
Obecna rada zni: Keep your device updated to the latest version at all times. If an update is not available for your device, manually install an OS like CyanogenMod that support older devices for a longer period of time.
Aby bylo jasno: Nepopiram, ze stare verze Androidu maji bezpecnostni problemy, a ze u nich aktulizace nebyly dobre vyreseny. A nelibi se mi to. Jsem ale rozhodne proti vasemu zevseobecnovani typu "Byly tam chyby, a proto je Android spatny." Google se z tech chyb poucil a nove verze na tu bezpecnost dbaji mnohem vic. Je treba si uvedomit, ze v dobe, kdy se zavadel Andoid < 4.x se mobil pro bankovni aplikace nepouzival a nikdo kriticka data v cloudu nemel. Situace se zmenila a Google na to zareagoval.
Nyni je treba donutit vyrobce, aby dostatecne aktualizace byly zajisteny i u low-end modelu. Osobne se domnivam, ze to neni snadny ukol. Napriklad iPhone 4s (8 GB) _bezneho_ uzivatele se pres OTA upgradovat neda, protoze nema dost volne pameti. Je treba upgradovat pres iTunes (ma osobni zkusenost). Androidove low-endy maji volne pameti jeste mene. Takze i v tomhle pripade se to bude muset delat pres pocitac. Je snad jasne, proc se do toho vyrobci mobilu nehrnou.
-
Cohen (neregistrovaný)
V zásadě jsme tedy ve shodě, protože podobně jako Vy nevidím extrémní problém v chybách samotných, ale spíše v možnostech jejich nápravy na existujících zařízeních, která je poměrně tristní.
Report Googlu jsem kritizoval především z toho důvodu, že obsahuje minimum informací o systémových zabezpečeních a spíše se soustřeďuje na to, kolik máme "headshotů". Když jsem před pár lety četl iOS security white paper, tak na mě naopak udělal solidní dojem. Tohle byla nuda.
Co se týče SELinuxu, tak je to určitě super, ačkoliv jsem policy nestudoval, takže nevím nakolik jsou "utažené šrouby". Nicméně SELinux samozřejmě není samospasitelný, sandbox se dá opustit i jinak:
https://labs.mwrinfosecurity.com/advisories/2015/08/13/sandbox-bypass-through-google-admin-webview/
Aktualizaci systémových komponent přes Play bych vyčetl to, že je nesystémová. Kdyby Google do 5.0 zařadil aktualizaci všech komponent, včetně ART atd., tak bych si teď hodil nohy na stůl a diskuze o bezpečnosti Androidu by mě nechaly chladným. Prakticky to ale vypadá tak, že Google vždy, kdy se najde nějaký průšvih, vyčlení danou komponentu do Play aplikace. A to v další verzi (logicky). Zvenku to pak působí dojmem, že problémy se řeší tak, že se vždy z monolitu kousek uřízne, udělá se mu proxy api a jede se zase dál. Aktuálně máme takto vyčleněné dvě komponenty.
Android celkově není špatný systém, bohužel se v poslední době ukazuje, že to Google úplně nedává a hasí jednu část domu, zatím co mu už hoří druhá. A vzhledem k tomu, že Android osobně dlouhou dobu používám, doufám, že se k tomu nepostaví alibisticky (jako spousta diskutujících), že je to open source, takže on si myje ruce a opravuje jen zdrojáky, on přece OS nedistribuuje. Je v tuto chvíli jediný, kdo na Androidu pořádně rýžuje a zaštiťuje ho svým jménem.
P.S.: CyanogenMod je bohužel hodně omezující, na polovinu zařízení, která se mi pozdávala, jsou pouze night buildy, na druhou zase jen verze 10 :/
-
Lael Ophir (neregistrovaný)
Ad 1: SELinux v enforcing modu zavedl Android 5. Uvedte CVE vami zminovanych der pro tuto verzi. - zjevně to nezabralo. Stagefright bug se týká Androidu všech verzí před 5.1.1_r9 (Lollipop) až k 2.2 (Froyo). Attack vektory jsou client-side (web browsers, downloads, email), physically adjacent (NFC, Bluetooth, VCards), physical (SD cards, USB on-the-go, USB Media Transfer Protocol and Picture Transfer Protocol), Gallery a dost možná další. Postižených je prý cca 950 milionů zařízení. Většina z nich - jak je u Androidu zvykem - zůstane neopravená. CVE máte v prvním linku.
https://www.kb.cert.org/vuls/id/924951
http://www.forbes.com/sites/thomasbrewster/2015/07/27/android-text-attacks/Ad 1: Napadenou aplikaci si můžete stáhnout jak ze zdrojů mimo Google Play, tak bohužel občas z Google Play.; Ten report zcela jasne vysvetluje, ze jde problem, ktery nema obecne reseni (v zadnem operacnim systemu).
Koukněte se na iOS: aplikace se šíří výhradně přes App Store, a jsou výrazně důkladněji testované.Ad K tehle chybe z 2015 se report z roku 2014 vyjadrovat nemuze. Workaround je znamy - k první větě souhlas, ale Android měl svou dávku zranitelností i v roce 2014. Workaround pro Stagefright bug neexistuje. Možná může pomoci antivirus.
Ad Android 5 a vyssi updatuje WebView pres Google Play - což je zákazníkům jedoucím na starších Androidech k ničemu. V době objevení bugu šlo o 70% telefonů. Co k tomu říci? Snad jen kudos :)
Ad Starting with Android 4.2... - bohužel pozdě, ze stejného důvodu.
Ad U noveho Androidu se vybrane systemove komponenty instaluji pres Google Play - tuším celkem dvě komponenty :)
Ad Vyrobci (Samsung, LG, Sony) nedavno prislibili zavedeni aktualizaci - ano. Pár výrobců, a ještě s křížkem po funuse.
Ad If an update is not available for your device, manually install an OS like CyanogenMod - pokud CyanogenMod na vašem zařízení funguje, a pokud opravdu funguje. Navíc to znamená manuální instalaci, kterou nejvíce postižené skupiny zákazníků nemají šanci zvládnout. BTW ten text jste přepastil ze stránky, kde jste měl ta CVE, po kterých jste se ptal :)
Ad Google se z tech chyb poucil a nove verze na tu bezpecnost dbaji mnohem vic - podle množství recentních bezpečnosntích problémů to tak moc nevypadá. Navíc největším problémem jsou ty stovky milionů zařízení se starými verzemi, které zůstanou děravé. To Google v žádné nové verzi nenapraví.
Ad v dobe, kdy se zavadel Andoid < 4.x se mobil pro bankovni aplikace nepouzival a nikdo kriticka data v cloudu nemel. Situace se zmenila a Google na to zareagoval. - ebanking se na mobilech používá daleko delší dobu. V Androidu 4 Google už dokonce zavedl Google Wallet. Svěřit Androidu číslo karty dneska působí jako dobrý vtip :/. Google měl reagovat před lety. Pokud chce reagovat dnes, tak by měl uvést nové verze Androidu pro stará zařízení. Možná by se mu to trochu zařízlo do zisku, ale byl by to pozitivní krok. Jenže Googlu jde hlavně o příjmy z posbíraných osobních dat a cílené reklamy.
Ad Nyni je treba donutit vyrobce, aby dostatecne aktualizace byly zajisteny i u low-end modelu - to měl Google dát už před lety jako podmínku při podpisu smlouvy o Google Mobile Services. Teď se to bude fakt špatně dohánět.
Když to shrnu, tak Android je ve velkých problémech. Celkem vtipně působí snaha Googlu protlačit ho i do firemní sféry. Každému firemnímu sekuriťákovi se při slovu Android musí ježit chlupy i v místech o kterých se nemluví. Ještě vtipnější je Android Pay. Pokud se Googlu vůbec podaří napravit reputaci Androidu, bude to trvat roky.
-
Cohen (neregistrovaný)
"Každému firemnímu sekuriťákovi se při slovu Android musí ježit chlupy i v místech o kterých se nemluví."
To myslite jako na privatu? Ale jste vedle jak ta jedle. Znam nekolik velkych nadnarodnich firem, ktere presly kompletne na Google infrasrukturu, tj. Gmail, Docs atd. a nakoupily zamestnancum Android telefony. A jedna z tech firem je banka.
-
ean (neregistrovaný)
Takze to shrneme: Tvrdil jsem, ze Android 5 zavedl SELinux v enforcing modu a tim vyrazne zvysil bezpecnost. (Aplikace jsou v sandboxu a mohou delat jen to, co je jim dovoleno.) Vy jste tvrdil, ze SELinux je deravy jako reseto. Ja jsem po vas chtel, abyste uvedl CVE alespon jedne chyby v androidi implementaci SELinuxu, protoze jsem si zbezne prosel popisy aktualnich chyb a nikde jsem popis takove chyby nevidel. Vy jste uvedl Stagefright bug. To je ale chyba v multimedialni casti Androidu. Vami odkazovane dokumenty nepopisuji, ze by ta chyba umoznila obejit pravidla SELinuxu u Androidu 5 a vyssim. Takze jeste jednou: az mi uvedete CVE chyby v implementaci SELinuxu, pak uverim, ze SELinux je deravy. Pokud mi jich uvedete vic, pak uverim, ze je SELinux je deravy jako reseto. V opacnem pripade jen prekrucujete fakta.
Ad: BTW ten text jste přepastil ze stránky, kde jste měl ta CVE, po kterých jste se ptal.
Ano, pouzil jsem https://blog.zimperium.com/how-to-protect-from-stagefright-vulnerability/.
Ad: Workaround pro Stagefright bug neexistuje. Možná může pomoci antivirus.
Workaround je popsany na te strance, ze ktere jsem prekopiroval doporuceni. Jmenovite: "Disable Auto-fetching of MMS" nebo pouzit "Zimperium’s advanced mobile threat protection solution".
Ad: Navíc největším problémem jsou ty stovky milionů zařízení se starými verzemi, které zůstanou děravé. To Google v žádné nové verzi nenapraví.
Souhlasim. Google podporuje jen posledni tri verze Androidu. V soucasne dobe jsou to 4.4, 5.0 a 5.1 (http://source.android.com/devices/tech/security/overview/updates-resources.html). Na rozdil od vas si ale myslim, ze problem je hlavne na strane vyrobcu mobilu, ne na strane Google. Pro vyrobce je ekonomicky vyhodnejsi prodavat nove modely nez opravovat stare.
ČLÁNKY DO MAILU