Google выпустила патч для уязвимости в Android

    Упоминавшаяся ранее на Хабре уязвимость в Android, которая "...позволяет злоумышленникам превратить любое приложение в троян" устранена и патч передан производителям.

    Обнаруженная командой Bluebox Labs уязвимость заключалась в том, что хакер имел возможность изменить APK-файл приложения без изменения соответствующей криптографической подписи. Утверждалось, что проблеме потенциально подвержены более 900 млн устройств, работающие под различными версиями Android, начиная с 1.6.

    Менеджер по связям с общественностью команды Android Джина Скиглиано (Gina Scigliano) сообщила обозревателям ZDNet, что её компания не собирается выступать с официальным заявлением по поводу наличия проблем в Android, а просто подтвердила, что соответствующий патч уже отправлен OEM-производителям (Samsung, в частности), которые уже заняты его применением на конечных устройствах.

    Также Джина ожидаемо сообщила, что волноваться было особо не о чем:
    У нас нет никаких доказательств того, что кто-то воспользовался уязвимостью в Google Play или других магазинах приложений. Google Play сканируется в поисках проблемы, механизм Verify Apps обеспечивает защиту пользователям Android, которые загружают приложение в обход официального магазина.

    Оригинал
    We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue — and Verify Apps provides protection for Android users who download apps to their devices outside of Play.


    [Источник]
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 24
    • +2
      > соответствующий патч уже отправлен OEM-производителям (Samsung, в частности), которые уже заняты его применением на конечных устройствах.

      Интересно, до скольки конечных устройств этот патч доберется в итоге… Я уж не говорю про первый SGS и аналоги, но хотя-бы до Tab/SGS3 интересно дойдет ли.
      • +2
        SGS2 наверно тоже не стоит ждать новшевств. Завис на 4.1.2, видимо Samsung не хочет слышать про таких старых клиентов.

        Причем практика у многих — если клиенту более 2х лет и он не покупает новый продукт — кому нужен такой клиент?
        • +2
          > если клиенту более 2х лет и он не покупает новый продукт — кому нужен такой клиент?

          Ну вот лично я вижу как минимум две причины:
          1. А потом такой клиент, когда таки решается на апгрейд, и видя что поддержка аппаратов не заканчивается через полгода после выхода, идет и покупает новый аппарат той же конторы.
          2. Довольный клиент в интернетах и среди своих знакомых поддерживает положительную репутацию конторы, что ведет к увеличению количества клиентов.
          • 0
            >идет и покупает новый аппарат той же конторы.
            Зачем если и старый хорошо работает? Или все-таки плохо работает? (если да, скорее всего, он решит, что патч негодный)
            > клиент в интернетах и среди своих знакомых
            «Гики» и без поддержки официалов могут накатить на свою рухлядь что угодно. Я тому пример. И ведь я не кричу на весь инет, что T-Mobile обманула юзеров по поводу количества оперативы и не собирается обновлять прошивку. Сижу и делаю со своей железкой, что хочу.
            • +1
              > Зачем если и старый хорошо работает? Или все-таки плохо работает? (если да, скорее всего, он решит, что патч негодный)

              Ну как вариант — последняя версия злых птиц тормозит.

              > Сижу и делаю со своей железкой, что хочу.

              Вы делаете, я делаю, а 99% процентов пользователей — нет. А с тем же SGS+ грейд со стоковой 2.3 на 4.1 творит чудеса.
              • 0
                SGS+ и на 4.2.2 нормально работает.
              • 0
                >Зачем если и старый хорошо работает? Или все-таки плохо работает?

                Знаете, у меня где-то в кладовке валяется около 5 телефонов, включая Нокию 3310. Все эти телефоны до сих пор отлично работают.
                • +1
                  А кто говорит, про «плохо работают»? Мы тут security обсуждаем.

                  Если на мой телефон накатить стоковую прошивку, он будет работать, как и работал, когда я его из коробки достал.
                  Другое дело, что у меня запросы возросли.

                  Nokia и остальные так сильно не лажали, когда писали прошивку для ваших телефонов. Или умалчивают о багах, это тоже вариант.
        • 0
          просветите меня безграмотного, пжлста:
          можно ли выпустить этот патч для всех, чтоб я, знаю точно версию системы, скачал нужный вариант и применил на своём аппарате. Если нельзя вообще всем, может можно тем, у кого root и CWM?
          • –2
            У кого root и cwm такой патч не нужен, ибо, из левых мест левые приложения они не ставят.
            • 0
              Блаженны верующие в чистоту Google Play и правдивость слов Gina Scigliano (UPD: а ведь она сама может быть не в курсе)
            • 0
              Патч для всех — вряд ли. Ну или непросто.
              Но можно достаточно легко проверять скачаные APK-шки, ничего кроме unzip-а, пожалуй, и не понадобится. Хм, а можно, может, и прямо на девайсе — каким-нибудь zip-просмотрщиком (если, конечно, баг именно в том, что написано в комментариях к предыдущему посту).

              Но смысл? Те, кто скачивают с левых мест, не смотрят обычно на подписи, насколько я понимаю.
              • 0
                Вот закрытая таска в багтрекере Цианогена, Стив Кондик 7 июля там написал, что гугловый патч уже интегрирован в cm-10.1.
                Насчёт для всех — у разных вендоров разные способы распространения OTA-обновлений, различные подписи системных файлов и прочие сложности, делающие это малореальным.
              • 0
                Ну когда ждать для НТС? Если учесть, что обновление Андроида для One S они объявили в районе Нового года, а мой телефон получил его по весне.
                • 0
                  А откуда дровишки про «обновление Андроида для One S они объявили в районе Нового года»? Последняя новость (на прошлой неделе), которую я видел, была о том, что One S больше обновляться не будет.
                  • 0
                    Я про вот это www.youhtc.ru/2013/01/obnovlenie-htc-one-s-ville-c2-do-android-4-1/
                    Если, ссылка не опубликуется.
                    «Стартовавшее в предпоследнюю неделю декабря официальное обновление HTC One S до Android 4.1 и HTC Sense 4+, как оказалось, затронуло только суб-флагманы с процессорами Qualcomm S4. Но владельцам модификации с кодовым именем Ville C2 и процессором Qualcomm S3 не стоит отчаиваться — развертывание обновления для них уже началось!»
                    Новость на youhtc от второго января
                • 0
                  > механизм Verify Apps обеспечивает защиту пользователям Android, которые загружают приложение в обход официального магазина.

                  Интересно, а как быть пользователям заблокировавшим Google Play Services и Play Market из соображений безопасности? (Первое — по тому, что самостоятельно постоянно обновляется, параноя не позволяет такое держать, второе — по тому, что позволяет удаленно поставить любое приложение, параноя опять-же..). Ведь механизм «Verify Apps» — это как раз часть Google Play Services.

                  Гугл действует по принципу как бандитская крыша — других не пустит, но сам лезит во все щели.
                  • 0
                    Линейка устройств Nexus получит патч?
                    • 0
                      вы еще не получили?

                      если я ничего не путаю, ваши устройства одни из первых должны получить.
                      • +1
                        Увы. Но патча нету
                    • +1
                      Bluebox выпустили программу, которая позволяет проверить, устранена ли у вас уязвимость или нет.
                      Пруф: bluebox.com/corporate-blog/free-scanner-to-manage-risk-of-major-android-vulnerability/

                      Ссылка на программу: play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
                      QR-код: habrastorage.org/storage2/0cb/a0c/659/0cba0c659c253ed70ccde21c21383a9d.gif

                      На Nexus 4 уязвимость не устранена!
                      habrastorage.org/storage2/2f2/378/3b7/2f23783b7865863b67e65aac40146389.png
                      • 0
                        Ахаха, Самсунгу они послали, вот уж образец поддержки Андроида. У меня на Галакси Табе 2 до сих пор Андроид 4.0(!), хотя уже на момент его выхода была версия 4.1.
                        • 0
                          > уязвимость заключалась в том, что хакер имел возможность изменить APK-файл приложения без изменения соответствующей криптографической подписи.

                          Если немного подробнее, то The Android Bug 8219321 заключается в том, что в APK (представляющем собой ZIP-архив) можно поместить два файла с совпадающими именами. Подпись будет проверяться для второго файла, а устанавливаться — первый файл. Исправление доступно в CyanogenMod 10.1.1, CM7 и CM9.
                          • 0
                            Странная система подписи в Андроиде. Зачем подписывать отдельные файлы, если можно подписать целиком весь .apk?

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.