Пользователь
0,0
рейтинг
9 июля 2013 в 17:22

Разработка → Google выпустила патч для уязвимости в Android

Упоминавшаяся ранее на Хабре уязвимость в Android, которая "...позволяет злоумышленникам превратить любое приложение в троян" устранена и патч передан производителям.

Обнаруженная командой Bluebox Labs уязвимость заключалась в том, что хакер имел возможность изменить APK-файл приложения без изменения соответствующей криптографической подписи. Утверждалось, что проблеме потенциально подвержены более 900 млн устройств, работающие под различными версиями Android, начиная с 1.6.

Менеджер по связям с общественностью команды Android Джина Скиглиано (Gina Scigliano) сообщила обозревателям ZDNet, что её компания не собирается выступать с официальным заявлением по поводу наличия проблем в Android, а просто подтвердила, что соответствующий патч уже отправлен OEM-производителям (Samsung, в частности), которые уже заняты его применением на конечных устройствах.

Также Джина ожидаемо сообщила, что волноваться было особо не о чем:
У нас нет никаких доказательств того, что кто-то воспользовался уязвимостью в Google Play или других магазинах приложений. Google Play сканируется в поисках проблемы, механизм Verify Apps обеспечивает защиту пользователям Android, которые загружают приложение в обход официального магазина.

Оригинал
We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue — and Verify Apps provides protection for Android users who download apps to their devices outside of Play.


[Источник]
Евгений @jeston
карма
80,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (24)

  • +2
    > соответствующий патч уже отправлен OEM-производителям (Samsung, в частности), которые уже заняты его применением на конечных устройствах.

    Интересно, до скольки конечных устройств этот патч доберется в итоге… Я уж не говорю про первый SGS и аналоги, но хотя-бы до Tab/SGS3 интересно дойдет ли.
    • +2
      SGS2 наверно тоже не стоит ждать новшевств. Завис на 4.1.2, видимо Samsung не хочет слышать про таких старых клиентов.

      Причем практика у многих — если клиенту более 2х лет и он не покупает новый продукт — кому нужен такой клиент?
      • +2
        > если клиенту более 2х лет и он не покупает новый продукт — кому нужен такой клиент?

        Ну вот лично я вижу как минимум две причины:
        1. А потом такой клиент, когда таки решается на апгрейд, и видя что поддержка аппаратов не заканчивается через полгода после выхода, идет и покупает новый аппарат той же конторы.
        2. Довольный клиент в интернетах и среди своих знакомых поддерживает положительную репутацию конторы, что ведет к увеличению количества клиентов.
        • 0
          >идет и покупает новый аппарат той же конторы.
          Зачем если и старый хорошо работает? Или все-таки плохо работает? (если да, скорее всего, он решит, что патч негодный)
          > клиент в интернетах и среди своих знакомых
          «Гики» и без поддержки официалов могут накатить на свою рухлядь что угодно. Я тому пример. И ведь я не кричу на весь инет, что T-Mobile обманула юзеров по поводу количества оперативы и не собирается обновлять прошивку. Сижу и делаю со своей железкой, что хочу.
          • +1
            > Зачем если и старый хорошо работает? Или все-таки плохо работает? (если да, скорее всего, он решит, что патч негодный)

            Ну как вариант — последняя версия злых птиц тормозит.

            > Сижу и делаю со своей железкой, что хочу.

            Вы делаете, я делаю, а 99% процентов пользователей — нет. А с тем же SGS+ грейд со стоковой 2.3 на 4.1 творит чудеса.
            • 0
              SGS+ и на 4.2.2 нормально работает.
          • 0
            >Зачем если и старый хорошо работает? Или все-таки плохо работает?

            Знаете, у меня где-то в кладовке валяется около 5 телефонов, включая Нокию 3310. Все эти телефоны до сих пор отлично работают.
            • +1
              А кто говорит, про «плохо работают»? Мы тут security обсуждаем.

              Если на мой телефон накатить стоковую прошивку, он будет работать, как и работал, когда я его из коробки достал.
              Другое дело, что у меня запросы возросли.

              Nokia и остальные так сильно не лажали, когда писали прошивку для ваших телефонов. Или умалчивают о багах, это тоже вариант.
  • 0
    просветите меня безграмотного, пжлста:
    можно ли выпустить этот патч для всех, чтоб я, знаю точно версию системы, скачал нужный вариант и применил на своём аппарате. Если нельзя вообще всем, может можно тем, у кого root и CWM?
    • –2
      У кого root и cwm такой патч не нужен, ибо, из левых мест левые приложения они не ставят.
      • 0
        Блаженны верующие в чистоту Google Play и правдивость слов Gina Scigliano (UPD: а ведь она сама может быть не в курсе)
    • 0
      Патч для всех — вряд ли. Ну или непросто.
      Но можно достаточно легко проверять скачаные APK-шки, ничего кроме unzip-а, пожалуй, и не понадобится. Хм, а можно, может, и прямо на девайсе — каким-нибудь zip-просмотрщиком (если, конечно, баг именно в том, что написано в комментариях к предыдущему посту).

      Но смысл? Те, кто скачивают с левых мест, не смотрят обычно на подписи, насколько я понимаю.
    • 0
      Вот закрытая таска в багтрекере Цианогена, Стив Кондик 7 июля там написал, что гугловый патч уже интегрирован в cm-10.1.
      Насчёт для всех — у разных вендоров разные способы распространения OTA-обновлений, различные подписи системных файлов и прочие сложности, делающие это малореальным.
  • 0
    Ну когда ждать для НТС? Если учесть, что обновление Андроида для One S они объявили в районе Нового года, а мой телефон получил его по весне.
    • 0
      А откуда дровишки про «обновление Андроида для One S они объявили в районе Нового года»? Последняя новость (на прошлой неделе), которую я видел, была о том, что One S больше обновляться не будет.
      • 0
        Я про вот это www.youhtc.ru/2013/01/obnovlenie-htc-one-s-ville-c2-do-android-4-1/
        Если, ссылка не опубликуется.
        «Стартовавшее в предпоследнюю неделю декабря официальное обновление HTC One S до Android 4.1 и HTC Sense 4+, как оказалось, затронуло только суб-флагманы с процессорами Qualcomm S4. Но владельцам модификации с кодовым именем Ville C2 и процессором Qualcomm S3 не стоит отчаиваться — развертывание обновления для них уже началось!»
        Новость на youhtc от второго января
  • 0
    > механизм Verify Apps обеспечивает защиту пользователям Android, которые загружают приложение в обход официального магазина.

    Интересно, а как быть пользователям заблокировавшим Google Play Services и Play Market из соображений безопасности? (Первое — по тому, что самостоятельно постоянно обновляется, параноя не позволяет такое держать, второе — по тому, что позволяет удаленно поставить любое приложение, параноя опять-же..). Ведь механизм «Verify Apps» — это как раз часть Google Play Services.

    Гугл действует по принципу как бандитская крыша — других не пустит, но сам лезит во все щели.
  • 0
    Линейка устройств Nexus получит патч?
    • 0
      вы еще не получили?

      если я ничего не путаю, ваши устройства одни из первых должны получить.
      • +1
        Увы. Но патча нету
  • +1
    Bluebox выпустили программу, которая позволяет проверить, устранена ли у вас уязвимость или нет.
    Пруф: bluebox.com/corporate-blog/free-scanner-to-manage-risk-of-major-android-vulnerability/

    Ссылка на программу: play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
    QR-код: habrastorage.org/storage2/0cb/a0c/659/0cba0c659c253ed70ccde21c21383a9d.gif

    На Nexus 4 уязвимость не устранена!
    habrastorage.org/storage2/2f2/378/3b7/2f23783b7865863b67e65aac40146389.png
  • 0
    Ахаха, Самсунгу они послали, вот уж образец поддержки Андроида. У меня на Галакси Табе 2 до сих пор Андроид 4.0(!), хотя уже на момент его выхода была версия 4.1.
  • 0
    > уязвимость заключалась в том, что хакер имел возможность изменить APK-файл приложения без изменения соответствующей криптографической подписи.

    Если немного подробнее, то The Android Bug 8219321 заключается в том, что в APK (представляющем собой ZIP-архив) можно поместить два файла с совпадающими именами. Подпись будет проверяться для второго файла, а устанавливаться — первый файл. Исправление доступно в CyanogenMod 10.1.1, CM7 и CM9.
    • 0
      Странная система подписи в Андроиде. Зачем подписывать отдельные файлы, если можно подписать целиком весь .apk?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.