Názor ke zprávičce Zranitelnost v systému Android umožňující eskalaci práv od Lael Ophir - Ad místo aby MS konečně přestal používat prolomené...

Ad místo aby MS konečně přestal používat prolomené MS-CHAPv2, tak doporučuje sledovat, s kým ten telefon komunikuje - pár detailů:
1. PEAP je dvoufázový autentikační protokol. Nejprve se vytvoří TLS tunel, a skrz něj se provede vlastní autentizace. Použití MS-CHAPv2 (teoreticky klidně plain textu) je v pořádku, pokud je bezpečný ten TLS tunel, který byl navržen právě za účelem "schování" méně bezpečné autentizace.
2. Pokud se nekontroluje certifikát serveru, je možné na ten TLS tunel použít MITM attack. V takovém případě MS-CHAPv2 pochopitelně coby velmi starý protokol neodolá.
3. Windows Phone 8 nevyžadovaly by default validaci certifikátu serveru. Stejně ji nevyžaduje ani Android a iOS.
http://www.apsu.edu/helpdesk/facultystaff-wireless-android
4. Windows Phone 8.1 mají nástroje pro vzdálenou správu, které umožňují nastavit WiFi profil, včetně ověřování certifikátů.
https://technet.microsoft.com/en-us/windows/dn771707.aspx
4. K PEAP-MS-CHAPv2 neexistuje moc alternativ. Můžete použít PEAP-TLS, ale to věšinou vyžaduje vystavovat i klientské certifikáty.

Ad telefony s takto starým Androidem mají provést upgrade na novější Android - což jich stovky milionů nemůžou, protože pro ně výrobce novou verzi Androidu nepřipraví. Takže je Google prostě hodil přes palubu stovky milionů uživatelů jeho platformy.

Ad kdy vyjde Windows Phone 8.1 Update 2 pro Lumie druhé generace - GDR1 i GDR2 jsou feature updates, nikoliv bezpečnostní updaty. A podle všeho se na ně dostane Windows Mobile 10. Na mojí Lumii 820 mi úspěšně běží beta WM10.

Ad Tak určitě - a četl jste to? The fact that fewer vulnerabilities are discovered in Android should under no circumstances be misinterpreted to imply that Android OS is more secure than iOS... Apple... discover[s] and patch[es] security problems much faster than Google.