Zařízení s Androidem lze odemknout zadáním jakéhokoliv dlouhého hesla

Proč by se ti výrobci namáhali ? za ta zařízení zaplaceno již dostali :-)

Přitom by stačilo aby podporovali skutečně otevřený SW a peníze získávali jen za HW. tím by se ale značně prodloužila jeho použitelnost a oni by prodali méně kusů a přišli by tak o peníze.

A přitom by z aktualizací a podpory dokázali udělat dobrou konkurenční výhodu. Pokud by bylo o vírobci známo že vydává rychlé a pravidelné aktualizace na svoje modely pak by zajisté mnoho uživatelů zvolilo právě tohoto výrobce na úkor jiného. Já třeba koupi LG G3 a už je na něj slíben Marshmallow :) což je u rok staré vlajkové lodi docela jedinečné. Nechápu proč žádný výrobce místo neustálého přidávání výkonu, velikosti atp prostě neudělá dobrou podporu.

Myslím že o škodách způsobených placenými SMS zprávami, vykradením bankovních účtů apod. už psaly snad i časopisy pro ženy. BTW Samsung je korejská firma.

posledni tezko... UbuntuTouch ma jednak OTA, druhak muzes pouzit apt-get i vlastni repa ;)

Proto si už nic s Androidem nekoupím a to je důvod proč by se výrobce měl snažit a přesvědčit mě a vydávat aktualizace i nové verze OS na plně funkční starší přístroje. Výrobce by tak i chránil životní prostředí a ne o ochraně životního prostředí blbě politicky kecal.

To byla řečnická otázka ;-)

mne to nejde, nejde copy past na emergency call:)

detto s Cyanogenmod 5.1.1

Mno, pro mě nejzajímavější na tom je, že Google tuto chybu zpočátku označil LOW priority (wtf?) a oprava, spočívající v jednom řádku:

+ android:maxLen­gth="500"

mu trvala přes 2 měsíce....

Neprůstřelný fix, který zaručí, že k podobnému problému už nikdy nemůže znovu dojít:
https://android.googlesource.com/platform/frameworks/base/+/8fba7e6931245a17215e0e740e78b45f6b66d590

A reakce supportu na upozornění, že toto opravdu nestačí (poslední 2 komentáře):
https://code.google.com/p/android/issues/detail?id=178139

No do prdele, ještě že už Android nepoužívám.

Ten atribut maxLength opravdu zaručí, že do toho textfieldu nepůjde napsat více než 500 znaků. Průšvih je ale v tom, že toto řeší pouze jeden projev mnohem hlubšího problému: Pokud ze screenlock aplikace vyletí výjimka, tak se ukončí a dostanete se na plochu. Ale podle pana Billyho z Android Security Teamu to je přece v cajku. :)

To je celkem pěkně shrnutý, už to tak vypadá.

a jak asi funguje napr. xscreensaver, light-locker? uplne stejne...
teda to ze omezili velikost vstupniho pole ktere pusobilo pad lockeru je v poradku, az narazis na jinej zpusob shozeni lockeru opravi se to, co je na tom divneho nechapu, pokud by se nastavoval flag tak muze byt problem/bug/dira v tom, znamena to ze jedine reseni je vyndat baterku a telefon nepouzivat? :)

No to je inspirace v prihlasovani do windows,
kde login bezu jako aplikace pod pravy uzivatele system coz je jeste vic jak admin, take se toho zneuzivalo ze ste si vyvolali conzolu pustili explorer a pak se prepli na plochu uzivatele system, naposledy sem to delal v sedmickach

Takze mozna bude stacit vyzkouset nejake mene pouzivane znaky, aby to sletelo. Alternativne poskadlit stabilitu napeti napeti atd atd.

Tak to je mazec přístup. Doufám, že tohle berou jako dočasný fix a bude se to řešit v nějaké další velké verzi (asi to bude potřebovat změny dost hluboko v systému).

Tohle je častý přístup k bezpečnostním chybám?

Tohle jim trvalo 2 mesice ... toz co myslis?

zajimavy taky je, ze se tyto zavazny chyby normalne fajluji pres verejnou BZ. To prece neni uplne bezny ne?

Já mám Cyanogenmod 12.1 a bezpečnostní gesto, a s tím to nefunguje.

Ale jo funguje, jen ty sis neprecet jak to funguje.

kdyz ma bezpecnosti gesto tak mu proste ten bug nefunguje i kdyz si to bude cist milionkrat ;) nebo myslis ze kdyz behem 3vterin 983 zmatenejch gest ze to zbuchne ? ;)

Prectite si nejaky normalni zdroj:
http://www.extremetech.com/mobile/214423-heres-why-you-shouldnt-panic-about-the-android-lock-screen-hack

Zajimalo by me, jestli si hystericky diskutujici zkusi vzit ponauceni, a priste radeji zapatraji nez aby hned meli silny nazor. Pochybuji...

Můj silná názor je ten, že Googlu trvalo dva měsíce přidat jednu řádku do definice formu, a to že někde v kódu cosi padá při délce stringu nad 500 znaků nebylo opraveno vůbec, stejně jako to že občas padá kamera pokud se snímá větší množství obrázků. Androidu od jiných výrobců se problém může a nemusí týkat, podle toho jestli nahradili lock screen, kameru a další komponenty.

Samozřejmě to není tak závažné jako třeba Stagefright bug, kvůli kterému operátoři vypínají podporu MMSek. Problém s lock screenem spíš ilustruje mizernou bezpečnostní situaci na Androidu a přístup Googlu k té situaci. Dost mi to připomíná MS kdysi v době, kdy jeho produkty měly největší problémy se zabezpečením.

Jasne, na widle neexistuje asi tak bambiliarda postupu jak se do nich lokalne dostat. Vubec ne ... takovej Ophcrack to vubec nezvladne v radu vterin ... a nejen ze se dotycny do tech widli dostane lokalne, on se dokonce dozvi hesla vsech uzivatelu.

A nebo takovej ... M$ cmoud ... jooo, tomu se rika bezpecnost, virtualne umoznit userovi dlouhy heslo, ale ve skutecnosti pouzit jen prvnich 6 znaku. Ted je to prej vylepseny, tech znaku muze byt maximalne 16 ... to aby to M$ nemel moc slozity pri jejich lusteni ze?

Jak to souvisí s Androidem? To že pokud na PC nepoužíváte šifrování ani SecureBoot, tak po bootu z jiného média můžete přimountovat disk a hrabat se v databázi uživatelů je poměrně logické. Na Linuxu tak můžete triviálně založit nového uživatele nebo změnit heslo stávajícímu.

Ad virtualne umoznit userovi dlouhy heslo, ale ve skutecnosti pouzit jen prvnich 6 znaku - toho jsem si nevšiml, kdy/kde to tak bylo?

Ad je to prej vylepseny, tech znaku muze byt maximalne 16 - k tomu MS vydal statement:
Please note our research has shown uniqueness is more important than length and (like all major account systems) we see criminals attempt to victimize our customers in various ways; however, while we agree that in general longer is better, we’ve found the vast majority of attacks are through phishing, malware infected machines and the reuse of passwords on third-party sites – none of which are helped by very long passwords. Sixteen characters has been the limit for years now. We will always prioritize the protection needs of users’ accounts and we will continue to monitor the new ways hijackers and spammers attempt to compromise accounts, and we design innovative features based on this. At this time, we encourage customers to frequently reset their Microsoft account passwords and use unique passwords that are different from other services.

Nevím, co si představujete pod zdrojem, ale to, co linkujete, je _názor_. Předpokládám, že Váš názor je podobný. Jenže můj nikoliv, ta chyba je sice poměrně kuriózní a nepřikládám jí velký význam, ale spíše ukazuje na problém v koncepci zamykací obrazovky.

Pokud ta aplikace spadne, systém by neměl pustit obrazovku k sezení. Může se jí pokusit restartovat, případně nahradit nějakou nouzovou a pokud to nezafunguje, neměl by být telefon dále použitelný. Zřejmě tam nějaký podobný princip je, ostatně v diskuzi ohledně chyby se píše o tom, že cokoliv jiného, než vstup do seznamu aplikací, vede k opětovnému uzamčení zařízení. Ale zjevně je ten systém naimplementovaný špatně a to mělo být opraveno, ne maximální velikost pole. To je jako zamknout si pokoj, protože tam máte bordel, místo toho, abyste si uklidil.

Pro srovnání - na iOSu to funguje tak, že pokud provádíte na zamknuté obrazovce jinou činnost než odemknutí telefonu, aplikace si může v rámci svých oprávnění vyžádat dešifrování svého kontejneru a s ním pak pracuje. Proto pokud se najde v dané aplikaci chyba, která útočníka pustí za hranice toho, co mu mělo být umožněno, může maximálně pracovat s daty oné aplikace, s ničím dalším, ostatní kontejnery jsou zašifrované a nepřístupné. Tomuto přístupu není z mého pohledu co vytknout, jde o velmi slušnou prevenci a co si pamatuji, tak už se to minimálně jednou Applu vyplatilo.

Může mi někdo pomoct jak jsi mám odstranit
soukromí heslo a PIN jsem zapomněl