URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108785
[ Назад ]
Исходное сообщение
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено opennews , 09-Авг-16 10:08 
Компания Check Point раскрыла (http://blog.checkpoint.com/2016/08/07/quadrooter/) информацию о четырёх уязвимостях в платформе Android, представленных публике под кодовым именем "QuadRooter". Уязвимости проявляются на устройствах с чипами  Qualcomm и позволяют выполнить код с правами root.  Три уязвимости вызваны ошибками в специфичных для Android модулях ядра kgsl и ipc_router, а одна проблема проявляется в модуле "ashmem (https://www.opennet.me/opennews/art.shtml?num=33387#ashmem)" который проходит тестирование в staging-ветке основного ядра Linux.

Для проверки устройств на наличие уязвимостей подготовлено специальное приложение (https://play.google.com/store/apps/details?id=com.checkpoint...). По предварительной оценке уязвимостям подвержено более 900 млн устройств. Из подверженных уязвимостям актуальных моделей устройств отмечаются
    BlackBerry Priv,  Blackphone 1 и 2,  Google Nexus 5X, 6 и 6P,
    HTC One, HTC M9, HTC 10, LG G4, LG G5, LG V10, Moto X,
    OnePlus One, OnePlus 2, OnePlus 3, Samsung Galaxy S7, Samsung S7 Edge, Sony Xperia Z Ultra.


URL: http://blog.checkpoint.com/2016/08/07/quadrooter/
Новость: http://www.opennet.me/opennews/art.shtml?num=44936

Содержание
Сообщения в этом обсуждении
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено commiethebeastie , 09-Авг-16 10:08 
>язвимости вызваны ошибками в специфичных для Android модулях ядра

Посадили жабокодера за ядро.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 10:25 
Сколько было сообщений об уязвимостях в "Android-модулях ядра" (Java)?
Сколько было сообщений об уязвимостях в Linux (C)?
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено freehck , 09-Авг-16 10:38 
Да-да, давайте сравнивать циферки, и забьём на то, что:
1) история одного проекта более чем на 15 лет дольше
2) один проект поддерживает сонмы оборудования для различных аппаратных архитектур, в то время как ядровые модули другого -- только оболочки для одной конкретной архитектуры, байткодов JVM. :)
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 10:53 
клоун:
1. и почему это должно помешать сравнению?
2. это не мешает сравнить количество ошибок. После получения результатов можно оценить влияние количества разработчиков, активности разработки, монолитного ядра VS пико-ядра и пр. факторов.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено freehck , 09-Авг-16 11:30 
Ну разве что у вас действительно цель "сравнить количество ошибок". :)
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено dgdsgfsadfgsdfgsdfg , 13-Авг-16 23:01 
Вот это приписка "клоун:" - это такой форсед мем с какого-то ракового паблика вконтакте? Мозолит глаза уже который месяц и не хочет дохнуть.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 22-Авг-16 11:15 
> Вот это приписка "клоун:" - это такой форсед мем с какого-то ракового
> паблика вконтакте? Мозолит глаза уже который месяц и не хочет дохнуть.

Это пиарщик микрософта, "клоун Стаканчик" назывался, кажется. Тупой аки валенок. Хотя может быть он и законспиррованный саботажник - посмотришь на то какие деграданты винду используют и продвигают мсовские технологии и побоезгуешь о такую компанию пачкаться.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено пох , 09-Авг-16 13:59 
> Посадили жабокодера за ядро.

да с чего вы взяли что в квалкоме есть хоть один жабакодер?
Посадили очередного одноразового китайца (точнее, целую бригаду) писать корявые ядерные модули - он и написал, точнее, на cut&paste'ил как умел.
Скажите еще спасибо, если это опенсорсные модули и делу можно помочь левой сборкой, вручную исправив эти куски, а не нечто, что поставляется только гуглю и еще трем "партнерам" в виде объектников для линковки, а остальным и вовсе нужно довольствоваться .ko выдранными из гуглевой версии.

"аткрытый" андроед такой аткрытый, ага

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Xenia Joness , 09-Авг-16 10:16 
>Sony Xperia Z Ultra.

А все остальные (Z1-Z5) тоже подвержены?
А то уже начинаю жалеть, что сменила iPhone...

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Your mama , 09-Авг-16 10:29 
Чего жалеть? Можешь рута получить, если захочешь. Радоваться надо!
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Ананым , 09-Авг-16 10:54 
Не надо, ибо интеграл хотения по злоумышленникам значительно больше такового по простым пользователям.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено яя , 09-Авг-16 12:19 
А если я точно знаю чего хочу почему я не могу получить рут?
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Ананым , 09-Авг-16 16:53 
логично предположить ряд таких причин:
* возможно, гугл хочет не только привязать пользователей к магазину своего софта, но и оставить за собой возможность копаться в уже используемом софте на устройствах пользователя (т.е., напр., отключить возможность использования гугл-глобуса в странах, подпавших под какую-нибудь санкцию, и т.п.);
* возможно, что пользователей андройда, которые знают, что такое root, настолько мало, что ими проще пренебречь и всё запретить, чтобы не платить по искам о нарушенных правах и потерянных данных;
* возможно, что андройд разрабатывается настолько спешно и сумбурно, что наличие уязвимостей не оставляет сомнений, и они просто блокируют всё и сразу, чтобы помешать их использовать;
* возможно, под капотом андройда выполняются (или могут иногда выполняться) какие-то вещи, которые пользователю не понравятся.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 17:15 
> андройда

Войн линуксойд?

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 10-Авг-16 13:35 
Войн-линуксойд из Тайланда. ;)
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено пох , 09-Авг-16 14:02 
> Чего жалеть? Можешь рута получить, если захочешь. Радоваться надо!

если захочешь - его и на ипхоне можно получить (особенно если не спешить с обновлениями). Только зачем? Видимость контроля над устройством, которое все равно контролируют мимо тебя, только еще ценой возможности что этим займется и еще кто-то непредусмотренный.

нормального пользовательского софта, требующего рут, на ипхонах в общем-то нет.


"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Stax , 09-Авг-16 12:10 
> А все остальные (Z1-Z5) тоже подвержены?

Так скачайте прогу и проверьте. Они пишут про сток, в момент выпуска. Сейчас уже эти баги обычно закрыты (либо закроют со дня на день). Я у себя проверил Nexus 5x (с 7.0 DP5) - все уязвимости, кроме ashmem, уже прикрыты, т.к. эта закрывается простым патчем в ядре, думаю, тоже закроют. Просто на DP не выпускают обновлений безопасности.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Alex , 09-Авг-16 14:02 
Z3 compact. Только что проверил - уязвим ко всем четырем проблемам.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Andrey , 10-Авг-16 12:30 
Проверил, Xperia C3 тоже подвержена
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 10:18 
А все юзеры ломают голову и думают как же получить этот злосчастный root??? Юзают всякие КингоРут и т.д. А все оказывается так просто.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 10:33 
> Несмотря на то, что компании-производители получили информацию об уязвимостях ещё в апреле, большинство компаний ещё не успели подготовить обновления.

Спасибо, поржал.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 10:44 
клоун: не в приоритете.

В Японии есть вежливая фраза для отказа в просьбах: "я сделаю это в течении вечности".

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Анони , 22-Авг-16 11:19 
Майкрософт работает над захватом мобильного рынка. По оценкам анонимных экспертов опеннета, майкрософт займет доминирующее положение на рынке через 2*10^16 лет.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено 3cky , 09-Авг-16 10:49 
Не совсем понятно, почему в заголовке новости речь идет о платформе Android как таковой, если уязвимости добавлены криворукими программистами Qualcomm в специфичный для своих устройств код, который, как я понимаю, не является частью AOSP.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено rob pike , 09-Авг-16 15:30 
Потому что без этого кода AOSP не работает (в конструктивном понимании этого термина) на примерно миллиарде устройств.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено vitalif , 09-Авг-16 10:57 
Ну и хо-ро-шо. Пока рута искаропки на ВСЕХ девайсах не будет, уязвимости = хорошо.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Ананым , 09-Авг-16 11:05 
Что не убивает пользователя, то делает сильнее производителя.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 11:38 
Что не убивает пользователя, то делает его сильнее производителя.
/fixed
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Ананым , 09-Авг-16 16:43 
Опишите, каким образом здесь пользователи стали теперь сильнее гугла?
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 11:39 
я так понимаю, галка "не устанавливать приложения из неизвестных источников" таки является защитой от этой уязвимости?

не, из маркета конечно тоже можно всякого нахвататься, но там вроде как чистят периодически

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Crazy Alex , 09-Авг-16 12:41 
FDroid в помощь
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено rob pike , 09-Авг-16 15:32 
> FDroid в помощь

У них есть специальная уличная магия, не пропускающая малварь?

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 22-Авг-16 11:22 
> У них есть специальная уличная магия, не пропускающая малварь?

Да, они только опенсорсные программы в каталог берут. Поэтому проприетарная дрянь с рекламой и шпионажем остается за бортом, "радуя" пользователей гуглостора.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено vitalif , 09-Авг-16 14:27 
да просто не скачивать apk вместо mp3 да и всё.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Пыщь , 09-Авг-16 12:35 
Дешёвый китайфон на MTK6580 оказался понадёжнее соней.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 13:11 
> Дешёвый китайфон на MTK6580 оказался понадёжнее соней.

без единого обновления за три года оказался понадёжнее? ок

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено tantico , 09-Авг-16 14:08 
xiami mi4c - CVE-2016-2059 пофикшена уже к моменту выхода новости
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено АнонимХ , 10-Авг-16 10:55 
на стоке, как я понимаю?
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено OpenVMS , 11-Авг-16 21:15 
Xiaomi Mi4w -- не закрыты четыре уязвимости из четырёх. Это при том, что месяца полтора прилетело обновление с Android 4 до 6.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Пыщь , 13-Авг-16 11:47 
Ну откуда такие фантазии? За первые полгода уже более 3-х обновлений прикатило.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Alladin , 14-Авг-16 17:21 
соне на мтк точно так же окажутя неуязвимыми.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 12:38 
В тексте новости надо добавить еще устройство Nexus 5. Проверил его с помощью QuadRooter Scanner - также подвержено этим 4-м уязвимостям, накатил обновление, которое висело в трее уже несколько дней (типа "доступно обновление"), перепроверил - теперь осталась только уязвимость CVE-2016-2059, которую, судя по новости, поправят в сентябре.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 12:40 
При этом Galaxy S7 у жены оказался не подвержен ни одной из четырех уязвимостей, почему-то.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено человек , 09-Авг-16 14:18 
потому что проц от самсунг
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Андрей , 09-Авг-16 21:37 
Все знают, что у самсунгов свой чип Exynos. Но неужели этого не знают эти специалисты? Ведь у них на сайте они на полном серьёзе утверждают, что самсунг тоже подвержен уязвимости. Скриншот привели, на котором, правда, нет никакой инфы по железу этого смартфона.

Так, кажись, я начинаю припоминать, что раньше было так: одно и тоже устройство в зависимости от поддержки LTE могло быть и не с родным Exynos'ом. Думал, что это уже в прошлом, значит - нет?

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено rob pike , 09-Авг-16 23:47 
У самсунгов всегда на одно маркетинговое название (например, "Galaxy Note 4") три-четыре разных железки, которые под этим названием продаются.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 22-Авг-16 11:25 
> У самсунгов всегда на одно маркетинговое название (например, "Galaxy Note 4") три-четыре
> разных железки, которые под этим названием продаются.

А длинк так и вообще под названием типа DIR-300 продает штук 7 разных железяк. Замена SoC? Мелкая модификация! Ну не сертифицировать же все по полной у щелкоперов из FCC и тп заново?! :)

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Andrey Mitrofanov , 10-Авг-16 09:26 
> Все знают, что у самсунгов свой чип Exynos. Но неужели этого не
> знают эти специалисты? Ведь у них на сайте они на полном
> серьёзе утверждают, что самсунг тоже подвержен уязвимости.

Может вдруг, чисто случайно, так случилось, что самсунг делал модельки-телефонки на квалкомах? Как Вы думаете, могло такое невероятное случиться7

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено iPony , 09-Авг-16 12:52 
> Проблемы с появлением вредоносных баннеров в Google AdSense периодически продолжают всплывать с 2014 года

Они и раньше всплывали...

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Геймер , 09-Авг-16 13:47 
Не баг а фича. Теперь все бросятся квалкомы закупать чтоб рутовые проги ставить.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 17:21 
> Не баг а фича. Теперь все бросятся квалкомы закупать чтоб рутовые проги
> ставить.

У тех, кому нужен был рут с этим проблем никогда не было.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Онаним , 09-Авг-16 15:44 
> в рекламной сети Google AdSense активно продвигаются вредоносные баннеры

И куда смотрит Google? Они там что, вообще не смотрят что рекламируют?

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 17:22 
>> в рекламной сети Google AdSense активно продвигаются вредоносные баннеры
> И куда смотрит Google? Они там что, вообще не смотрят что рекламируют?

Продай им систему опознования вредоносных баннеров — озолотишься.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Онаним , 09-Авг-16 17:51 
Вручную пусть проверяют каждый баннер прежде, чем принимать его на показ. Я абсолютно серьёзно.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 22-Авг-16 11:27 
> Продай им систему опознования вредоносных баннеров — озолотишься.

Могу uBlock забесплатно посоветовать, из любви к искусству :)

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 16:44 
Это хорошо или плохо?
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 09-Авг-16 17:37 
Samsung note 2 проверка уязвимостей не выявила
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Sfinx , 09-Авг-16 21:28 
Пора уже давно составлять рейтинг вендоров, которые закрывают уязвимости раньше всех. Вот и будет понятно кого можно юзать, а кого можно похерить
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено KOT040188 , 10-Авг-16 02:32 
Если уязвимости исправят, как мы рут получать будем?
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 10-Авг-16 09:09 
При установке системы.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 10-Авг-16 04:20 
> last-browser-update.apk

Да да, на днях тут прилетело через браузер.

"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 12-Авг-16 21:52 
Специальное ядро для квалкомм. Специально для участников Специальной олимпиады. С Специальными дырами.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено Аноним , 13-Авг-16 13:25 
Тут скорее уязвимости не в андроиде, а у квалкома, затрагивающие андроид и прочие платформы, использующие тот же набор драйверов.
"В платформе Android выявлены 4 уязвимости, позволяющие получ..."
Отправлено fx , 22-Авг-16 10:59 
тело Umi Super на 6 андроиде - уязвимостей не найдено