any unprivileged process or app could obtain a user's fingerprints
On some phones, the sensor is integrated into the home button, potentially making it possible to obtain prints each time someone touches the button.
http://arstechnica.com/security/2015/08/severe-weaknesses-in-android-handsets-could-leak-user-fingerprints/
Bezpečnostní situace na Androidu mi připadá dlouhodobě kritická. Jak může uživatel smartphonu s Androidem svěřit cokoliv soukromého, napsat do něj heslo, používat ebanking, nebo mu dokonce svěřit číslo kreditky? Navíc to nejspíš ani nejde opravit, protože Android v mnoha verzích běží na 24000 modelů telefonů od 1000 výrobců. Řada výrobců na aktualizace úplně kašle, další je dodávají zatraceně krátkou dobu. Google dovedl svoji platformu do pěkného průšvihu.
http://www.ibtimes.co.uk/android-smartphone-boom-sees-over-24000-distinct-models-use-worldwide-1514342
Myslím tím bombasticky přístupový práva pro uživatele k disku ve FAT32 a defaut usera, na kterýho ses přihlásil prostým stornováním login dialogu a měl stejný práva, jako na tučňákovi root.Pokud vím, tenhle průšvih žádná záplata nezalepila... A vše s M$IE a "Internet ready"
Jinak NeandrtalTechnology už šly, to už bylo na úrovni Androida...Viděl jsem tehdy u plebsu na lince (ještě v předchozí firmě), jak slovenský brigádník vlezl na noční z plebs účtu bez práv na porno chat za 23 sekund. A co je horší, ten dacan to během týdne naučil i ostatní...
Jistě. Uživatelské účty byly do Win9x dodělány za účelem sdílení počítače například v rodině, aby mohl mít každý uživatel svůj desktop a svůj adresář dokumentů. O plné oddělení kontextů nikdy nešlo, od toho tu byla řada NT.
Ad brigádník vlezl na noční z plebs účtu bez práv na porno chat za 23 sekund - samozřejmě spustit browser z "plebs účtu" není problém. A pokud to zakážete špatným způsobem, tak to lze obejít.
Taková ale byla doba. Někdy kolem roku 1996 jsem se na VŠ trochu přel o bezpečnosti Linuxu s jeho velkým zastáncem. Jednou už jsem to nevydržel, nabootoval na jeho serveru live CD (nebo to byla disketa?) a vypsal mu /etc/shadow. To nestačilo, tak jsem mu tam ještě na cosi nastavil suid bit. Teprve pak alespoň částečně přiznal, že když se dostanu k tomu stroji fyzicky, tak má problém.
Dnes je situace jiná. Předpokládám, že na svém PC máte zaheslovaný BIOS a zakázané bootování z jiných zařízení než HDD. A že filesystém máte chráněný heslem. Já stále ještě používám TrueCrypt, co vy?
Zahesleny BIOS je akorat obtiz navic. Porad jeste vam muzou dat Rohypnol o piva a mezitim vymontovat a vylepsit disk. Napriklad o keylogger, ktery jim domu posle heslo ke TrueCryptu a oni si pak desifruji kopii, kterou si poridili, kdyz jste vyspaval ten Rohypnol. Takze zalezi na tom, kdo a jak moc po vas jde.
Jaké posměšky? Ani náznakem. Jen konstatuji neradostný stav věci:
- Špatně navržená platforma. Když dáte aplikacím například možnost bez dotazu posílat SMS a provádět volání, tak se nutně vynoří malware, který toho zneužívá. Nemluvě o spoustě trestuhodných chyb v implementaci.
- Špatně vytvořený ekosystém, který způsobuje, že stovky milionů zákazníků mají trvale děravé telefony.
Miliarda lidí má telefon s Androidem a nikomu se do něj zatím nedostal malware aniž by si ho tam sám nainstaloval. U starších verzí Windows (včetně XP) stačilo připojit počítač k internetu a než si stáhl aktualizace, tak byl zahnojený tak, že už to často řešila jenom přeinstalace. Při instalaci XP jsem musel vždy odpojit internet, nainstalovat firewall a potom teprve počítač připojit do sítě.
U Androidu nic takového nehrozí. Je tu pár teoreticky zneužitelných zranitelností, ale jelikož je celá platforma už od návrhu bezpečná, tak i v případě zneužití nějaké z těch chyb nemůže útočník nijak výrazně uškodit.
Jediné, s čím souhlasím, je to, že způsob distribuce Androidu a tím pádem možnost jeho aktualizace je značně nešťastná. Ale to není až tak vina systému, jako výrobců HW a komponent, kteří tam cpou svůj bloatware a nemají otevřené ovladače. A pak samozřejmě Googlu, který s tím takhle souhlasil.
To je ale pouze Váš dojem, protože o tom nejsou zprávy. Z historie různých botnetů dost jasně vyplývá, že se na jejich činnost často přišlo až po několika letech, takže Vaše prohlášení, že se ještě nikdo nenakazil bez vlastního přičinění, je čistě a pouze věštění z křišťálové koule.
Ve výsledku je to ale všechno úplně jedno. Ty díry, které se v Androidu v poslední době našly, prostě nemá kdo zalepit. A to, co je na tom tristní, je, že jde z rozšířených OS o nejmladší systém a Google se nebyl schopen inspirovat u konkurence, ačkoliv autorům koncepce muselo být jasné, že dříve či později k podobnému průšvihu prostě zákonitě musí dojít.
A abyste neměl pocit, že se škodolibě vozím po cizím neštěstí, Android dlouho používám, jeho koncepce je mi nejbližší, ale Google mě s tímto nesmírně irituje, je to amatéřina nejhrubšího zrna. Už už abysme měli systém venku a co nejvíc se používal, tyhle detaily budeme řešit až potom.
Google se na to připravoval, Android umí OTA aktualizace od první verze, patche vydal téměř okamžitě a jeho produkty již aktualizace dostaly. Naprosto selhala většina ostatních výrobců používajících Android, kteří se na podporu svých zákazníků úplně vybodli. Google je nemůže nahrazovat, protože aktualizace nemůže podepsat klíči těch výrobců a ta zařízení se na aktualizace ptají jen serverů výrobců. Házet za tohle vinu na Google je asi jako házet vinu za nezáplatované díry v routokrabičkách na Linuse (tam byly dokonce často známé díry i ve stále prodávaných produktech).
U Apple a Windows Phone (který je mimochodem o dva roky mladší než Android, Windows Mobile byl úplně jiný a nekompatibilní systém) to funguje, protože všechny iPhony jsou od Applu a naprostá většina zařízení s Windows Phone je od MS.
No a já tvrdím, že to je zkreslený pohled. Ten systém není celý open source, je silně svázaný Google pravidly. Routery neposkytují Linusovy služby a Linus nemá pod kontrolou všechny aplikace, které se na routery standardní cestou mohou nainstalovat, takže toto srovnání značně kulhá. Google mohl zcela klidně udělat paralelní systém distribuce systémových komponent včetně jádra a nutit výrobce, aby mu tyto komponenty dodávali, pokud už se rozhodli, že si pojedou po svém. Ten systém mohl klidně jet i z Google Play.
To, že obhajujete situaci tím, jak to funguje dnes, není argument. Je to zaměňování příčiny a následku. Google si stanovil pravidla a ta vedla k aktuální fragmentaci a neschopnosti mít zařízení pod odpovídající kontrolou. Možná, že by Android nebyl tak rozšířený, ale to je problém Googlu. Stejně jako nynější bezpečnostní situace.
Pravidly Googlu je vázaný jen Google Play, zbytek systému je open source, a co je v Google Play, to Google aktualizuje. Google nemá pod kontrolou všechny aplikace.
Jestli chcete zařízení s pevnými pravidly, kupte si iOS nebo Windows Phone. Nám ostatním prosím nechte open source.
Tady máte ten svůj open source bez podmínek:
https://www.theinformation.com/Google-s-Confidential-Android-Contracts-Show-Rising-Requirements
http://www.benedelman.org/docs/htc-mada.pdf
Podle mne tedy open source vypadá dost odlišně v podání výrobců telefonů ve srovnání například s Debianem. Nevím jak Vy, ale já jsem si tedy původně Android představoval jinak, než "tady máš zařízení a dělej si s ním co chceš, je to přece open source, jo a abysme nezapomněli, když se v tom budeš vrtat, tak jsi bez záruky, jasný?"
Ještě jednou, protože jste zaseknutý a obhajujete aktuální stav aktuálním stavem. Android, který je v zařízeních, obsahujících Google Play, není kompletně open source, Google výrobce silně svazuje, a to nejen ohledně Play a svých aplikací, ale klade si další podmínky. Např Wikipedia uvádí, že se Acer pokoušel použít fork od Alibaby a Google mu pohrozil, že ho vyloučí z OHA, viz:
https://en.wikipedia.org/wiki/Android_%28operating_system%29#Leverage_over_manufacturers
(nelze citovat, neboť "příspěvek byl vyhodnocen jako spam")
Bod 3.6 (ohledně kterého si protiřečíte) je právě krásný příklad, že MADA se netýká pouze šíření Google Play - první věta bodu 3.6 se týká celého Androidu a Google zde klade na HTC povinnost (ač vágní).
A k mé argumentaci: kdyby tedy v 3.6 byla například povinnost uvést opravy do x dní na všechna zařízení, vydaná x let zpětně, tak to tam prostě bude a Google může hrozit vyloučením z OHA i v takových případech. A prosím neberte mne za slovo, toto je skutečně jen směr. Google výrobce svazuje pravidly, která si určuje, takže je může svázat i v oblasti bezpečnosti. A já jsem skálopevně přesvědčen, že bude MADA s výrobci revidovat a tento problém řešit. Jen ho kritizuji za to, že zásadně řeší problémy zpětně a ve spoustě věcí mu chybí koncepce.
U bodu 3.6 se nepíše nic o Androidu. Píše se tam, že podpora a servis (což jsou povinnost dané zákonem pro každého prodejce) všeho kromě Google apps zůstávají povinností výrobce. Smyslem je pouze to, aby ty povinnosti nemohl výrobce požadovat po Googlu.
MADA a OHA jsou dvě nesouvisející věci. Podmínky v MADA nemohou někoho vyloučit z OHA.
OHA by tu podporu asi vyžadovat mohla, ale je otázka, jak to vlastně v OHA funguje.
Nechapem co s tym ma google? Ten vydal OS a pouziva ho vo svojich zariadeniach nexus kde ho aj aktualizuje. Stazovat by ste sa skor mal na vyrobcov, ktory maju stale neuveritelnu potrebu vsetko menit a prisposobovat, co by este az tak nevadilo ale oni zvysoka kaslu na aktualizacie, radsej nech si dotycny kupi novy telefon. Alebo si myslite, zeby nedokazali aktualizovat svoje vyrobky aj 5-8 rokov co je asi max. zivotnost takychto zariadeni? V tomto je Google skutocne nevinne a nema ako ani pomoct. Maslo na hlave maju vyrobcovia a casto aj operatori. Tam treba ist plakat.
Inak napisat nieco sukromneho, ci heslo k ebankingu alebo dokonca cislo kreditky, by som si nedovolil na novych win 10. Aj ked tam je to isto v poriadku, ved M$ moze disponovat sukromnymi informaciami.
Nexusy dostávají nový Android po dva roky, a bezpečnostní záplaty 3 roky od začátku prodeje a nejméně 18 měsíců po ukončení prodeje. Ostatní zařízení vyrobená v partnerství s Googlem (Android One devices, Google Play edition devices) minimálně 18 měsíců od zahájení prodeje zařízení. Zbytek světa jak si výrobce usmyslí, často bez updatů.
https://support.google.com/playedition/answer/4457705?hl=en&ref_topic=3450794
Google s tím má společné to, že Android je jeho platforma a jeho značka. Na způsob garantování bezpečnostních aktualizací (a mimochodem bezpečnost produktu jako takového) měl Google myslet hned na začátku. Díky špatné policy Googlu jsou stovky milionů uživatelů telefonů s Androidem nyní v situaci, kdy jsou jejich telefony děravé, a nikdo s tím nic neudělá. Přitom jde v řadě zemí o uživatele, pro které je smartphone drahý jako pro vás auto, takže si nový jen tak nekoupí.
Nové Windows 10 jsou v pohodě. Nedoporučoval bych ukládat citlivé informace do jakéhokoliv cloudu, včetně toho od MS. Můžete to samozřejmě srovnávat s tím jak Google získává data pomocí Androidu. Ale těžko to můžete srovnávat s tím bezpečnostním ementálem, kterým se platforma Android postupně stala.
Nerozumiem. Ved google vydava opravy androidu, tak co s tym teda ma spolocne? Ako som uz pisal, mal by ste sa skor stazovat na policy vyrobcov, pretoze oni android menia a upravuju cim si sami stazuju pripadne updatovanie. Vela krat su tie ich zmeny skor skodlive a nie vzdy dobre otestovane a to dokonca aj u premiovych znaciek. Google iba vyvija svoj produkt a reaguje na hrozby. Ze ich neopravuju aj ostatny je cisto iba ich rozhodnutie a ich problem. Nikomu nic nebrani urobit support pre mobil aj na 10 rokov. Lenze oni potrebuju tocit bubaky a preto urobia support tak na rok.
Skor by sa mali vyrobcovia ucit od takych skautov ako je cinanci (xiaomi) ci CM, ktory svoje produkty updatuju a nie len 1x za mesiac ale vtedy ked je to potrebne. Tam tieto velke zranitelnosti nie su.
Preto ako som uz pisal treba plakat na inom hrobe, nie u Googlu.
Tak android si aspon nepamata sifrovacie kluce na cloude. Inak vasim vyhlasenim idete dost proti filozofii M$, ze chce mat vsetky produkty ako sluzbu a aj cely OS by tak najradsej urobili. Ved to bol davny sen Billa Gatesa pokial viem.
Ad google vydava opravy androidu - bohužel Google s klidem oznámí, že neudělá záplatu na bezpečnostní problém, který se týká 60% telefonů.
http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/
Ad android si aspon nepamata sifrovacie kluce na cloude - tady nevím co konkrétně máte na mysli.
Ad vsetky produkty ako sluzbu a aj cely OS by tak najradsej urobili. Ved to bol davny sen Billa Gatesa - Bill Gates je sice známý "otec internetu" :), ale o tomhle jeho snu nevím.
To je ale alibismus. Google poměrně hodně svazuje výrobce, kterým licencuje Google služby a v posledních letech s pravidly značně přitvrdil. Takže je zcela mimo mísu tvrdit, že nemá páky k tomu, aby situaci ovlivnil.
Jasně, kdybychom se tu bavili o výrobcích, kteří integrují nějaký alternativní obchod s aplikacemi a nepoužívají Google Play, tak ok, Google je z obliga. Ale pro smluvní partnery bylo cest dost. Kdybychom šli hodně daleko, tak mohl Google vynutit i univerzální sadu kernelů.
Ono to s Windows Phone není o mnoho lepší:
http://betanews.com/2013/08/07/microsoft-warns-windows-phone-users-not-to-use-wifi-wait-what/
Včetně toho kašlání na starší zařízení:
http://wmpoweruser.com/internet-explorer-on-windows-phone-8-1-has-a-security-flaw-and-its-kinda-serious/
Ten první problém se týká firemních WiFi, a řeší se validací certifikátu. Ten druhý problém je "problém".
https://technet.microsoft.com/library/security/2876146
Takže je fajn, že linkujete jeden nekritický bezpečnostní problém. Android ale má hromady kritických. A má API, které si říká o zneužití. A má ekosystém, který nechává uživatele nezáplatované, i když Google nějaký patch vydá. A k tomu Google nemá problém říct, že nevydá patch na verze Androidu, na kterých běží 60% jeho telefonů.
http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/
Pokud chcete srovnávat, tak v oblasti bezpečnosti vede Windows Phone, za ním je iOS, pak dlouho nic, a nakonec Android.
Ten první problém se týká firemních WiFi, a řeší se validací certifikátu
To je taky typické řešení á la MS. Místo aby MS konečně přestal používat prolomené MS-CHAPv2, tak doporučuje sledovat, s kým ten telefon komunikuje.
A má ekosystém, který nechává uživatele nezáplatované, i když Google nějaký patch vydá. A k tomu Google nemá problém říct, že nevydá patch na verze Androidu, na kterých běží 60% jeho telefonů.
Google řekl, že telefony s takto starým Androidem mají provést upgrade na novější Android. MS už také nevydává aktualizace pro Windows Phone 7 či 8.0.
Jsem zvědavý, kdy vyjde Windows Phone 8.1 Update 2 pro Lumie druhé generace (Android 4.3 je stejně starý). MS na rozdíl od Googlu strašně mlží, které telefony vlastně ještě podporuje.
Pokud chcete srovnávat, tak v oblasti bezpečnosti vede Windows Phone, za ním je iOS, pak dlouho nic, a nakonec Android.
Ad místo aby MS konečně přestal používat prolomené MS-CHAPv2, tak doporučuje sledovat, s kým ten telefon komunikuje - pár detailů:
1. PEAP je dvoufázový autentikační protokol. Nejprve se vytvoří TLS tunel, a skrz něj se provede vlastní autentizace. Použití MS-CHAPv2 (teoreticky klidně plain textu) je v pořádku, pokud je bezpečný ten TLS tunel, který byl navržen právě za účelem "schování" méně bezpečné autentizace.
2. Pokud se nekontroluje certifikát serveru, je možné na ten TLS tunel použít MITM attack. V takovém případě MS-CHAPv2 pochopitelně coby velmi starý protokol neodolá.
3. Windows Phone 8 nevyžadovaly by default validaci certifikátu serveru. Stejně ji nevyžaduje ani Android a iOS.
http://www.apsu.edu/helpdesk/facultystaff-wireless-android
4. Windows Phone 8.1 mají nástroje pro vzdálenou správu, které umožňují nastavit WiFi profil, včetně ověřování certifikátů.
https://technet.microsoft.com/en-us/windows/dn771707.aspx
4. K PEAP-MS-CHAPv2 neexistuje moc alternativ. Můžete použít PEAP-TLS, ale to věšinou vyžaduje vystavovat i klientské certifikáty.
Ad telefony s takto starým Androidem mají provést upgrade na novější Android - což jich stovky milionů nemůžou, protože pro ně výrobce novou verzi Androidu nepřipraví. Takže je Google prostě hodil přes palubu stovky milionů uživatelů jeho platformy.
Ad kdy vyjde Windows Phone 8.1 Update 2 pro Lumie druhé generace - GDR1 i GDR2 jsou feature updates, nikoliv bezpečnostní updaty. A podle všeho se na ně dostane Windows Mobile 10. Na mojí Lumii 820 mi úspěšně běží beta WM10.
Ad Tak určitě - a četl jste to? The fact that fewer vulnerabilities are discovered in Android should under no circumstances be misinterpreted to imply that Android OS is more secure than iOS... Apple... discover[s] and patch[es] security problems much faster than Google.
Ad telefony s takto starým Androidem mají provést upgrade na novější Android - což jich stovky milionů nemůžou, protože pro ně výrobce novou verzi Androidu nepřipraví. Takže je Google prostě hodil přes palubu stovky milionů uživatelů jeho platformy.
Tak se rozhodnete. Hodil je pres palubu Google nebo vyrobci?
Jinak MS neco takoveho samozrejme hned tak neudela. Tolik telefonu, aby mohl pres palubu hodit tolik uzivatelu, jeste neprodali.
V tomhle souhlasím. Jde jednoznačně o chybu (záměr?) ze strany Google, který pro používání své platformy nestanovil jasná pravidla (např. aktualizovatelnost po dobu X od ukončení prodeje).
Srovnání s jinou platformou není tak objektivní, protože nikde nepanuje taková roztříštěnost (tolik modelů a výrobců).
Výrobci elektroodpadu na jedno použití prostě vzali tu nejlíp dostupnou a nejméně svazující (licenčně či požadavky na HW) platformu, nakrmili ji svým bloatwarem, launchery a cloudovými pseudoaplikacemi a toto je výsledek. Hodně mi to připomíná, jak vypadají běžně prodávané notebooky s windows, je to totéž, jeden OS a to co bych před 15 lety trávil instalací dnes trávím odinstalací bloatware. Bohužel u 99% "chytrých" telefonů roota nemám a mít nebudu, abych ten bloatware zprovodil ze zařízení.
Nemá smysl omlouvat chyby windows chybama z androidu a naruby, obojí jsou jiné platformy s výrazně jinými možnostmi (notebook přeinstaluju čistou instalací a jsem admin, u mobilu mám smůlu).
Za to, že je teď na trhu hromada děravých zařízení mohou výrobci elektroodpadu a Google.
Ad Hodil je pres palubu Google nebo vyrobci - jako zákazníkovi by mi to bylo celkem jedno. Ale osobně bych si stěžoval spíš na jeden Google než na 1000 výrobců.
To urcite... Ja ako zakaznik som si kupil telefon od isteho vyrobcu a nie od 1000 a teda ocakavam ze ten vyrobca nesie zodpovednost za aktualizaciu sw, vymenu vadneho HW atd...
Google je totiž hlavou toho ekosystému, a výrobci dělají to co jim dovolí.
Ano lenze google im nezviazal ruky... Maju zdrojove subory androida mozu si ho upravovat atd... Takze google im nezakazuje vytvorit patch na dany telefon a pustit ho do sveta... a navyse google tie patche uz pripravuje takze ak by vyrobcovia dbali na svojich zakaznikov tak by ich od googlu mohli stiahnut(kupit) a dat zakaznikom...
Pokud se nekontroluje certifikát serveru, je možné na ten TLS tunel použít MITM attack. V takovém případě MS-CHAPv2 pochopitelně coby velmi starý protokol neodolá.
To je ale chyba MS, že používá tak starý protokol. MS-CHAPv2 byl prolomen Jochenem Eisingerem už v roce 2001.
K PEAP-MS-CHAPv2 neexistuje moc alternativ. Můžete použít PEAP-TLS, ale to věšinou vyžaduje vystavovat i klientské certifikáty.
Alternativy existují, ale MS je neumí. Třeba EAP-FAST. Případně když ten mobil stejně musí mít TPM kvůli certifikačním požadavkům MS, tak by mohl používat PEAP-GTC.
což jich stovky milionů nemůžou, protože pro ně výrobce novou verzi Androidu nepřipraví. Takže je Google prostě hodil přes palubu stovky milionů uživatelů jeho platformy.
HTC aktualizace starších mobilů s Windows Phone také nevydává, takže MS je prostě hodil přes palubu, že?
a četl jste to? The fact that fewer vulnerabilities are discovered in Android should under no circumstances be misinterpreted to imply that Android OS is more secure than iOS... Apple... discover[s] and patch[es] security problems much faster than Google.
Reagoval jsem na to, že iOS je nějak extra bezpečnější oproti Androidu. Mimochodem většina současných útoků je na zero-day zranitelnosti, na které velmi špatně reaguje hlavně … MS, že?
Ad je ale chyba MS, že používá tak starý protokol - opakuji že PEAP je tu právě proto, aby se jím tunelovala další méně bezpečná autentizace. Takže v tom není problém, pokud ovšem ověříte certifikát serveru.
Ad Třeba EAP-FAST - je zranitelný ve phase 0, pokud použijete automatic PAC provisioning. Pokud použijete manual PAC provisioning, znamená to distribuovat PAC soubory na každé zařízení.
http://www.techrepublic.com/article/ultimate-wireless-security-guide-a-primer-on-cisco-eap-fast-authentication/
Ad EAP-GTC - to by mohlo fungovat pro zařízení s TPM, ne pro ty ostatní.
Ad HTC aktualizace starších mobilů s Windows Phone také nevydává - telefony s WP7 mají ukončenou podporu, trvala minimálně 3.5 roku po uvedení na trh. HTC 8S dostal WP 8.1 GDR1, HTC 8X pak WP 8.1 GDR2. FYI GDR1 i GDR2 jsou feature updates. HTC One M8 má preview Windows 10, HTC 8X by ho mělo brzo dostat, HTC 8S ho zatím nemá (512MB kousky přijdou mají zpoždění).
Ad Reagoval jsem na to, že iOS je nějak extra bezpečnější oproti Androidu - minimálně App Store je bezpečnější.
Ad většina současných útoků je na zero-day zranitelnosti, na které velmi špatně reaguje hlavně … MS, že? - jak jsem psal, pokud je zranitelnost aktivně zneužívána, MS vydává patch jakmile je hotový.
TPM je vyžadováno pro Windows Phone 8.
GDR2 obsahuje záplatu nespecifikované kritické chyby. AFAIK se ta oprava na 8S nedostala a ani nedostane, bohužel se to velmi obtížně zjišťuje, když MS ani nespecifikuje, co vlastně opravil.
AppStore se tak jenom tváří. Dostat tam aplikaci, která dělá něco, co Apple zakazuje, je poměrně snadné, stačí se při review tvářit, že se aplikace chová podle pravidel. Nikdo tam auditing zdrojáků či reverzní inženýrství nedělá.
Ad: Bezpečnostní situace na Androidu mi připadá dlouhodobě kritická.
Situace se zacala menit, velci vyrobci budou poskytovat bezpecnostni aktualizace: http://www.wired.com/2015/08/google-samsung-lg-roll-regular-android-security-updates/ .
Zvysene mnozstvi odhalenych bezpecnostnich chyb muze souviset se snahou Androidu proniknout na trh firemnich telefonu (https://www.android.com/work/). Proste se zacalo delat vic jeho bezpecnostnich auditu.
Hadam, ze vyrobci levnych androidich mobilu "na jedno pouziti" zadne aktualizace v dohledne dobe vydavat nebudou. Ale drazsi mobily a mobily urcene pro podnikove zakazniky je dostavat budou.
Je samozřejmě fajn, že někteří velcí výrobci budou poskytovat každý měsíc patche (BTW nevidím poznámky, že patchovat jen jednou za měsíc je blbost, i když přesně tak diskutéři hodnotí Patch Tuesday od Microsoftu). Bohužel ne všichni výrobci, a kdo ví jak dlouho budou zařízení podporovat. Navíc mléko je už rozlité. Ty stovky milionů smartphonů nikdo neopatchuje. A nejvíc trvale děravých telefonů zůstane v rukou lidem, kteří nemají technické znalosti a/nebo peníze, tedy těm nejzranitelnějším. BTW už i český T-Mobile začal blokoval MMS.
Pokud jde o Android a firemní trh, tak se domnívám, že tahle vlna bezpečnostních problémů (spolu s designem celé platformy Android) nebude zákazníky zrovna dvakrát motivovat. To už je asi víc přesvědčí to co nabízí MS: vzdálená správa integrovaná do podnikových nástrojů, integrace s MS Exchange, MS Office, SharePointem atd., možnost běžet ty samé aplikace na desktopu i telefonu, a samozřejmě bezpečnost. Uvidíme, můžeme se oba nechat překvapit :). Tenhle boj teprve probíhá.