https://threatpost.com/stagefright-2-0-vulnerabilities-affect-1-billion-android-devices/114863/
... One of the vulnerabilities has been assigned CVE-2015-6602 and was found in a core Android library called libutils; it has been in the Android OS since it was first released and before there were even Android mobile devices . The second vulnerability was introduced into libstagefright in Android 5.0; it calls into libutils in a vulnerable way, Avraham said.
“It’s a library that was written very badly,” Avraham said of Stagefright. “The library itself is pretty vulnerable; it has a lot of code mistakes. The media processing is not as safe as it should be.”
8-O
>:-[
PS: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2015-6602
Moc detailů o té chybě tam teda není ...
Při modifikaci androida pro jedno zařízení jsme přišli na tolik chyb, vcetne anoncovaneho pinu že hlavní bezpecak si pořídil Windows phone a já zahodil xperii. Nehledě na to ze celá struktura androidu je neuvěřitelně spagetove bahno. Nechal bych jen dalvik/art(to je celkem kvalitní komponenta) a celé api vcetne věci pod tím komplet prepsal.
Existují lidé kteří zde hatuji androida ale nikdy nedělali modifikací samotného os případně jeho komponent pro nějaké nové zařízení. Pak jsou tu lidé jenž maji tyto zkušenosti. Buďto mají cyanogen month nebo telefon s jiným OS.
a jde WindowsPhone rootnout, nahrat alternativni WindowsPhone vytvorenou z verejnejch zdrojaku, bez "Windows Mobile Services"?
ne, protoze to s Androidem jde, a tedy kazdej normalni bezpecak si nahraje vlastni build AOSP bez gapps a bez cripplewaru...
a jen debil si koupi posahanej/uzavrenej/nic_neumoznujici WindowsPhone a bude se delit o sve soukromi s Microsoftem, fakt bezpecak :-D
Tak si nahraj vlastni build AOSP. To si pomuzes. Budes se s tim srat kdovi, jak dlouho a vysledkem stejne bude deravy system, na ktery budes co chvili lepit zaplaty, ktere si budes muset udelat sam. Protoze asi tezko budes auditovat kazdou radku kodu, takze i na tvem vlastnim buildu ti der zbyde habadej a spousta jich bude uplne stejnych, jako ty, co se tu o nich 3x tydne pise.
Takze ono to je prast jako uhod. Deravy Android nebo derave Widle. Pricemz ty Widle maji aspon tu vyhodu, ze zaplaty na ne vyjdou aspon obcas, pri trose stesti i se zavratnou rychlosti nekolika tydnu a pri trose stesti nic neposerou. O tom si na Androidu muzes nechat zdat, vetsina zarizeni nikdy zadne zaplaty nedostane.
Takze kdyz jsi takovy bezpecak, tak bys radsi nemel pouzivat ani jedno, ani druhe, na cokoliv, kde o neco jde. Oboji je dostatecne bezpecne leda tak na to, aby ses podival na Internet, co davaji v kine.
BTW, ty Widle na founu maji vedle Androidu jednu obrovskou vyhodu: Je to minoritni platforma, na kterou se kvuli tem par procentum na trhu vetsine kyberlumpu nevyplati delat exploity. To je patrne jedna z jejich nejsilnejsich bezpecnostnich ficur. Ostatne to v rade pripadu plati i pro Linux, ze kttereho v posledni dobe delaji docela dobrou widloidni slataninu, ktera brzy zacne trpet bezpecnostnimi neduhy stejneho druhu, jako Widle. Pokud jiz nezacala.
no to by asi byl problem dat do cronu: repo_sync_and_build.sh :)
nicmene asi jsi si nevsiml ze sem reagoval na "crippleware a gapps"
jina samosrejme muzes nahodit CyanogenMod nebo jinej alternativni jiz hotovej build, vlepsim pripade s OTA update...
dalsi vec je, ze update Androidu je jiz resen 1x mesic, takze i oficialni bfu budoucnost je naklonena...
nepsal sem ze sem bezpecak, ale co muze/mel_by udelat rozumnej bezpecak a co nerozumnej "jakoze_bezpecak"...
taky ze nepouzivam ani WindowsCokoliv ani Android, ale jiz omnoho_minoritnejsi_jiz_ukoncenej webOS, kterej je zalozen na GNU/Linux, takze pokud bych mel pouzivat neco jineho, ROZHODNE nesahnu po WindowsPhone, ale napr. po UbuntuPhone...
to bych si spis dal primo do androidu "rsync ${roms_url} /srcard/roms" :) a pri zbuildeni roms na compu bych si zaslal mail, pripadne z compu adb pres wiki, pripadne .... :)
update 1x mesic je prvni vlastovka, ono kdyz se dostal do stavu "je uplne vsude", "je na to kazda app", "umi to pouzivat snadno kazdej" je na rade "lepsi, kvalitnejsi a bezpecnejsi", je jasne ze to melo byt v obracenem poradi, ale porad lepsi ze uz se neco deje, nez kdyby porad nic...
hlavne jak sem psal, muzes sahnout po device ktera ma oficialni ASOP, nebo CyanogenMod, nebo Slim, nebo... v horsim pripade device co ma neco z toho neoficialni a az v nejhorsim neco co si budes stavet sam...
“It’s a library that was written very badly,” Avraham said of Stagefright. “The library itself is pretty vulnerable; it has a lot of code mistakes. The media processing is not as safe as it should be.”
Tak podla tohto tvrdenia by mal google prepisat celu kniznicu aby sa vyvaroval takymto chybam... zamestnava tisice ludi, tak neverim ze by sa nenasli 2~4 vo firme co by dostali za ulohu prepisat tuto kniznicu do bezpecnej formy (refaktoring?)
Inac tato situacia mi pripomina stare casy z dob sendmailu...