Posts Tagged ‘zabezpieczenia’

Nexus One Update Now

Nexus One Update Now

Jakiś czas temu, ostatnio można wręcz powiedzieć, teoretyzowałem sobie na temat wady podejścia Google’a do kontroli nad Androidem. Konkretnie – brak centralnej kontroli to proszenie się o kłopoty. Wystarczy, że hakerzy namierzą dziurę, opracują exploita – takiego działającego przekrojowo na wielu telefonach z jedną lub wieloma wersjami Androida…

Coś jest chyba na rzeczy – jakaś dziura właśnie jest łatana przez Google’a. Paczka jest mała – 3.9 MB, nadaje się dla posiadaczy Nexus One z Androidem 2.2, można ją pobrać ręcznie, albo poczekać aż zejdzie z automatycznej aktualizacji. Więcej w opisie tutaj: Android 2.2.1 hits the Nexus One, manually install it now.

No i teraz przechodzimy do sedna – co tak naprawdę łata ta aktualizacja? W opisie informują, że lukę pozwalającą na działanie Universal Androot. Czyli, że to nie dobrze, że można przeprowadzić rootowanie tą metodą, oznacza to, że system narażony jest zapewne też na inne ataki. To ja się pytam – a co z innymi telefonami, dla których też działa Universal Androot? Czy ich systemy są bezpieczne (pewnie nie!), a skoro nie są, to kiedy dostaną aktualizację do Android 2.2.1?

Z tego co wiemy – być może nigdy! Bo to leży w gestii producentów telefonów i operatorów GSM. A tym się po pierwsze nie spieszy (Samsung właśnie opóźnił wydanie Androida 2.2 na Samsung Galaxy S na koniec października – a miało być we wrześniu…), a po drugie – często wcale nie chce – vide HTC Magic i brak aktualizacji m. in. w Polsce (choć gdzie indziej aktualizacje dostali).

Oto telefony na jakich działa Universal Androot:

  • Google Nexus One (2.2)
  • Google G1 (1.6)
  • HTC Hero (2.1)
  • HTC Magic (1.5) (Select Do not install Superuser)
  • HTC Tattoo (1.6)
  • Dell Streak (2.1)
  • Motorola Milestone (2.1)
  • Motorola XT701
  • Motorola XT800 (2.1)
  • Motorola ME511
  • Motorola Charm
  • Motorola Droid (2.01/2.1/2.2 with FRG01B)
  • Sony Ericsson X10 (1.6)
  • Sony Ericsson X10 Mini (1.6)
  • Sony Ericsson X10 Mini Pro (1.6)
  • Acer Liquid (2.1)
  • Acer beTouch E400 (2.1)
  • Samsung Galaxy Beam
  • Samsung galaxy 5 (gt-i5500)
  • Vibo A688 (1.6)
  • Lenovo Lephone (1.6)
  • LG GT540 (1.6)
  • Gigabyte GSmart G1305

Czy wasz telefon jest na liście? Czy zaczynacie trząść portkami przeglądając internet na komórce? Może czas pomyśleć o antywirusie 😉 ?

3 roboty na deskorolkach

3 roboty na deskorolkach

Powiedzmy, że pewnego dnia źli hakerzy wykrywają dziurę w przeglądarce zainstalowanej na Androidzie. Tworzą stronki wykorzystujące lukę, podają instrukcję jak taką stronkę stworzyć – publikują to w internecie.

Źli ludzie wykorzystują tę metodę na swoich stronach do przejęcia kontroli nad telefonami z Androidem – coś tam się po cichu instaluje, telefony zaczynają służyć jako zombi, a może wykonują jakieś połączenia/wysyłają SMSy nabijając użytkownikom rachunek, a operatorom strony – kiesę.

I co teraz? Co może zrobić Google aby ratować swój system? Opracowuje łatkę do Android OS i… prosi, przekonuje, błaga, modli się – aby producenci telefonów z Androidem łaskawie przygotowali i udostępnili użytkownikom nową, poprawioną (załataną) wersję systemu? A co z telefonami, które już aktualizacji mają nie dostać? Taki np. HTC Magic w Polsce – co z nim będzie w takim bardzo smutnym scenariuszu?

Podobno teraz jest problem – strony porno infekują telefony z Androidem malwarem! Taki bardzo restrykcyjny Apple ma prosto w takiej sytuacji – rozpoznaje zagrożenie i wydaje aktualizację systemu – do każdego użytkownika iOSa (iPhone’ów i reszty) taka aktualizacja dotrze od razu – przez scentralizowany punkt dystrybucji i pobierania nowych wersji systemu (ten znienawidzony iTunes)… A Androidy takie bezbronne i opuszczone… Bidulki.

A może się mylę – może jest na to jakiś sposób, tylko się po prostu nie znam, jakieś aktualizacje wybranych elementów systemu (np. przeglądarki) wysyłane i wymuszane przez Google? Chciałbym wiedzieć na czym stoję, w końcu teraz mam Androida. Strach wchodzić na pewne stronki, czy nie? A może antywirusa trzeba zainstalować? A myślałem, że antywirusy to tylko na pecetach i telefonach z Windows Mobile ;-).

Oczywiście podana wyżej przeglądarka to tylko jedna aplikacja systemowa, dziur w systemie może być znacznie więcej. Dziur, błędów itp. – leżących po stronie Google, w ich kodzie, a nie w części jaką każdy producent dostosowuje pod swoje telefony. Wydaje mi się, że ten model zarządzania i dystrybucji wersji systemu – zdecentralizowany jest zły. Przecież przykładowo – na pecetach jest jeden Windows, tak samo jest z grubsza jedna dystrybucja Linuxa (w ramach architektury – bo kompilują i optymalizują kod jądra pod architekturę), centralne źródło aktualizacji – czy z Androidem nie może być tak samo? Jeden system (być może wiele jego kompilacji dla różnych architektur/procesorów itp.), a dodatkowo wiele odpowiedników BIOSu i/lub sterowników do sprzętu (każdy producent ma swoje). Czy świat nie byłby prostszy i piękniejszy dla użytkowników, a może i samych producentów sprzętu oraz Google’a? To chyba da się zrealizować – przy odpowiedniej architekturze samego systemu Android…

a może odrobinę spamiku w puszce?

a może odrobinę spamiku w puszce?

Tak jak szewc bez butów, tak u nas – Kruczek bez Sztuczek chodzi(ł)…

Jakiś czas temu uruchomiliśmy firmowego bloga o fajnej nazwie „kruczki i sztuczki”. Plan mieliśmy (jak zawsze ambitny!) pisać go na bieżąco, wrzucać tam właśnie fajne kruczki i sztuczki.

A tak naprawdę, to uruchomiliśmy go przy okazji… wrzucenia właściwie jednego wpisu, jaki w tamtym momencie chcieliśmy wrzucić – Jak jedną linią poprawić zagnieżdżone video z vimeo – dla iPhone i iPada.

A następnie o blogu w sumie zapomnieliśmy ;-). Oczywiście z braku czasu – przeszkodziły nam intensywne prace nad naqnaq.com itp… Tzn. – my może zapomnieliśmy, boty spamujące – wcale nie.

Dziś – w sumie przypadkowo – wszedłem na firmowego bloga i miałem problem z wczytaniem strony. Nie dziwne raczej, skoro komentarzy (SPAMu) było 3777 sztuk.

Czym prędzej sięgnąłem po Akismet – czyli plugin antyspamowy, jaki WordPress.com ma zainstalowany standardowo do ochrony wszystkich blogów (tego również). Niestety, jak stawia się własnego bloga na swoim hostingu, to Akismet nie jest włączany w standardzie ;-).

Niestety istniejące spamowe komentarze usuwam teraz ręcznie (nie wiem czy da się automatycznie) – na szczęście jest opcja tzw. Bulk Actions – czyli robię to po 100 na raz.

Przy okazji – takiemu spamowaniu poświęcono osobny artykuł w Wikipedii: „Link spam” (inaczej blog spam albo comment spam).

tak się zastanawiam – skoro blogi oparte na wordpressie podają na tacy część adresów e-mail, to czy przypadkiem nie podpada to pod ustawę o ochronie danych osobowych i nie jest tematem dla GIODO?

jeszcze raz zbiorę w skrócie (jak na moje standardy) o co chodzi – poprzedni wpis na moim blogu na ten temat może być zbyt techniczny (to będzie może nie krótsze, ale mniej techniczne) (więcej…)

Załóżmy, że jest blog oparty na WordPress – czyli używa Gravatarów. Załóżmy, że chcemy się pod kogoś podszyć – kto komentował wpis, chcemy mu zrobić wstyd itp. cokolwiek. Zgadując i potwierdzając ze 100% pewnością adres e-mail, możemy następnie go użyć do podpisania naszego komentarza i będzie on wyglądał dla czytelników bloga dokładnie tak, jak oryginalny wpis zrobiony przez prawowitą osobę, pod którą się podszywamy. Będzie wyświetlony ten sam avatar, ale nie w sensie skopiowania go sobie pod swoje konto – będzie wygenerowany dokładnie ten sam adres do gravatara – a więc na poziomie przeglądania źródła HTML strony na której robimy psikusa – będzie wyglądało nie do odróżnienia. (więcej…)

Jak wiadomo serwis Gravatar służy do tworzenia globalnie rozpoznawalnych avatarów (ang. Globally Recognized Avatars). Aktualnie coraz więcej serwisów ma wbudowaną integrację z Gravatarem: WordPress (jako skrypt i jako serwis WordPress.com), StackExchange i jego najpopularniejszy serwis StackOverflow itd. itp.

Działanie Gravatarów opiera się na adresie email, który gdzieś podajemy – np. wrzucając wpis na bloga, zakładając konto na serwisie społecznościowym itp. (więcej…)