Link alla notizia: http://www.hwupgrade.it/news/telefonia/il-95-dei-dispositivi-android-vulnerabile-ad-un-grave-hack-non-individuabile_58201.html

Zimperium ha scoperto una grave vulnerabilità nel sistema operativo Android, che lascerebbe scoperti i dati del 95% dei dispositivi in circolazione. Un fix è già disponibile nel codice AOSP, ma devono essere i produttori a implementarlo

Click sul link per visualizzare la notizia.

Una vulnerabilità veramente grave nel panorama Android, anche e soprattutto considerando che i produttori non rilasceranno mai un fix per la stragrande maggioranza dei terminali...

Si sa se l'odierna Preview di Android M (su Nexus 5) risolve questo baco?


pgp

hangout disattivato da eoni. mai gradita come app

Bè, sono secoli che non uso più mms, si disabilitano e via !

Mi sembra che google non sia piu in grado di gestire la complessita di android

hangout disattivato da eoni. mai gradita come app

Bè, sono secoli che non uso più mms, si disabilitano e via !

Peccato che il bug colpisca qualunque applicazione faccia uso di quella libreria per la decodifica di video.

Potenzialmente anche il browser e la galleria.

La prima cosa che mi chiedo è come hanno fatto ad individuare un "hack non individuabile" :muro:

interessante :DScontato semmai. Tutti gli OS moderni hanno problemi del genere.
Quello che è scandaloso è che non è possibile patchare una sega nel 99.99999% dei terminali perchè non ci sono le infrastrutture per farlo.

La prima cosa che mi chiedo è come hanno fatto ad individuare un "hack non individuabile" non è individuabile dalla vittima.
Come il 99% degli hack del resto.

interessante :D

Vuoi un elenco di tutte le falle critiche scoperte su Windows dal 1985 ad oggi? :D

Vuoi un elenco di tutte le falle critiche scoperte su Windows dal 1985 ad oggi? :D

Si, ma gli aggiornamnti di windows li distribuisce MS ed arrivano a tutti i PC con Windows Update attivo, qui google fixa e li si interrompe il ciclo poiché i produttori non fanno e distribuiscono aggiornamenti.

no per quello gia' se ne e' parlato e denigrato windows abbondantemente... e' l'unico OS con problemi, mentre unix, linux, android, osx, ios ne sono esenti :sofico:

Poi lamentati di acerbo eh, mi raccomando.

Secondo me tutti i sistemi sono violabili, questo è il classico baco "lasciato li apposta", per chi sa cosa cercare, come la chiave nella montagna di Erebor, in modo che i vari uffici governativi tipo NSA possano ficcare il naso nelle tue cose come e quando vogliono. Probabilmente qualcuno se ne è accorto e hanno dovuto fare finta fosse una "sbadataggine". :mc:

Cyanogenmod e passa la paura, patch per Stagefright già installate due nightly fa..

Peccato che il bug colpisca qualunque applicazione faccia uso di quella libreria per la decodifica di video.

Potenzialmente anche il browser e la galleria.

e whatsapp + telegram

Cyanogenmod e passa la paura, patch per Stagefright già installate due nightly fa..
Col cavolo!
Bug simili dovrebbe correggerli il produttore!
Io dovrei buttare la garanzia o rischiare il brick, spendere un sacco di tempo e sbattermi per il backup al posto loro?

e whatsapp + telegram

Si, ma quelle sono app di terze parti che potrebbero tranquillamente uscire con un aggiornamento che include una versione corretta della libreria, le applicazioni di sistema invece no (o almeno non tutte).

I bug affliggono tutti i software il problema è il tempo di reazione per arrivare ad una patch e la penetrazione in termini di diffusione della patch stessa.

Non è una novità che i terminali Android dopo 18/24 mesi vengano pressochè abbandonati dai produttori e che gli upgrade abbiano una velocità di diffusione nettamente inferiore alla principale piattaforma concorrente.

Se a tutto questo ci mettiamo un OS incline allo sniffing dei dati personali la bomba è servita, fatto salvo di non usare rom moddate e menate varie che, come sappiamo, sono appannaggio di una fetta insignificante (in termini di %) rispetto ai terminali in circolazione.

Cyanogenmod e passa la paura, patch per Stagefright già installate due nightly fa..Questo, +1. Sono anni che sono passato al cyano ormai...

Questo, +1. Sono anni che sono passato al cyano ormai...

Si ma il 90%, e sto basso, di chi acquista uno smartphone, non sa nulla di Cyano, non saprebbe neppure come installarlo e quindi non fa affidamento a rom custom di produttori terzi.

In buona sostanza, io all'acquisto di un terminale non solo acquisto il telefono, ma sottoscrivo con la casa produttrice un contratto di assistenza garantita per 2 anni, dove eventuali difetti di costruzione, conformità e buchi software devono essere chiusi dal costruttore.

Se questo non viene fatto io la chiamo violazione delle regole di garanzia. Punto.

Io sul mio Lumia non cerco la ROM Wino..manco esiste, so solo che quando uscirà una grave falla di sicurezza, questa verrà fixata nel minor tempo possibile.

Questa è la serietà, il resto io la chiamo "Fai da te" hai hai hai :asd:

Vuoi un elenco di tutte le falle critiche scoperte su Windows dal 1985 ad oggi? :D

Una marea, ma visto che stiamo parlando di sistemi operativi per smartphone elencami le falle critiche di WP... :D

siete peggio dei bambini dell'asilo!
vi manca solo di aggiungere 'gne gne' alla fine del post e poi
siete perfetti...che tristezza...

Non posso che essere d'accordo con te: thread gia' andato al terzo commento. :muro:

Non posso che essere d'accordo con te: thread gia' andato al terzo commento. :muro:

Certamente!!!
Se vedi chi lo ha scritto capisci che ho è stipendiato da Google buon per lui, oppure è uno dei più grandi Troll di hwupgrade.it :O

Mi sembra che google non sia piu in grado di gestire la complessita di android

non e' complessita' ma caos. sempre piu' convinto che avra' vita breve.

Brutta rogna questa... Non tanto perché sia difficile turare la falla ma appunto perché, già detto da diversi, sfrutta la vera debolezza di Android, ovvero la frammentazione del supporto e dell'integrazione dell'OS da parte dei produttori dei terminali. Cosa che si aggrava con il fatto che la stragrande parte degli utenti di OS, modding, rom e compagnia bella non ne sa nulla!!
Penso che Google dovrebbe spronare i produttori di terminali, lavorandoci gomito a gomito, per garantire almeno tre anni di supporto all'OS, in particolar modo nei punti più sensibili per la sicurezza.

non e' complessita' ma caos. sempre piu' convinto che avra' vita breve.

E' nato male e ormai non ci si può fare più nulla, gli aggiornamenti devono essere garantiti dal produttore del SW (in questo caso Google) e non demandati al produttore del "pezzo di ferro" sul quale gira, è il prezzo da pagare per la filosofia open-source, tutti possono usarlo e chi l'ha creato all'inizio se ne lava le mani in caso di problemi.

la filosofia opensource è un pò diversa...di solito si collabora, e quando
qualcuno mette mano al codice e lo migliora, lo rende disponibile anche agli
altri.
Qui invece abbiamo google che sviluppa e mantiene android, e tutta una
scia di parassiti (samsung, sony, htc e tutti gli altri) che si limitano a
prendere il codice, farci qualche personalizzazione e fregarsene del resto.
... e nonostante abbiano la pappa pronta come in questo caso, non fanno
nemmeno la fatica di implementarla nella 'loro' versione di android e distribuirla
ai clienti.

Sony è un buon supporter di android AOSP e rilascia parecchio codice.

http://developer.sonymobile.com/knowledge-base/open-source/open-devices/

Sony è un buon supporter di android AOSP e rilascia parecchio codice.

http://developer.sonymobile.com/knowledge-base/open-source/open-devices/è già qualcosa.
ma se pensiamo a quanti milioni di dispositivi Samsung sono in circolazione...
tra l'altro, posso scommetterci quello che volete, riceveranno l'eventuale fix (xchè non è detto che lo faranno) solo i "top" come S5 - S6 - Note 4 e poco piu.

e i vari Galaxy Gio... Galaxy Fame... Galaxy StoCa..o che sono in giro per il globo... ciao ciao

e la altre "sottomarche" tipo Mediacom, Kevler... c'è da ridere!!!

E' nato male e ormai non ci si può fare più nulla, gli aggiornamenti devono essere garantiti dal produttore del SW (in questo caso Google) e non demandati al produttore del "pezzo di ferro" sul quale gira, è il prezzo da pagare per la filosofia open-source, tutti possono usarlo e chi l'ha creato all'inizio se ne lava le mani in caso di problemi.

bene! fortuna che esiste IOS e WP, certo che fidarsi di android per andare sul sito della propria banca o posta ci vuole stomaco o deficienza. diciamola tutta, e' un colabrodo, troppe versioni, troppe persone che ci mettono mano. per me e' out. ormai non parlo nemmeno delle rogne che si porta dietro ogni nuova versione.

Ma aggiornare la libreria da Google Play? Non sarebbe possibile?
Presumo che le librerie di sistema non siano "toccabili" dai vari produttori, quindi perchè non prevedere l'aggiornamento direttamente dall'unico punto in comune di tutti gli Android (a parte quelli che non hanno le app Google, che sinceramente non so quanti siano in percentuale).
Ma dubito che Google non ci abbia già pensato quindi probabilmente non è possibile :D

Ma aggiornare la libreria da Google Play? Non sarebbe possibile?
Presumo che le librerie di sistema non siano "toccabili" dai vari produttori, quindi perchè non prevedere l'aggiornamento direttamente dall'unico punto in comune di tutti gli Android (a parte quelli che non hanno le app Google, che sinceramente non so quanti siano in percentuale).
Ma dubito che Google non ci abbia già pensato quindi probabilmente non è possibile :Dbè... possibile lo dovrebbe essere...
se il bug può essere sfruttato per avere accesso come root, basterebbe creare un video "buono" che applica la patch.

tutto si può fare in informatica, basta volerlo.

Si, ma gli aggiornamnti di windows li distribuisce MS ed arrivano a tutti i PC con Windows Update attivo, qui google fixa e li si interrompe il ciclo poiché i produttori non fanno e distribuiscono aggiornamenti.

E la colpa mica è di Google :D

no per quello gia' se ne e' parlato e denigrato windows abbondantemente... e' l'unico OS con problemi, mentre unix, linux, android, osx, ios ne sono esenti :sofico:

L'OS più usato è SEMPRE quello più soggetto ad attacchi. Desktop Windows e mobile Android.

Semplicemente questo.

Felice possessore di uno Xiaomi mi3, ricevo l'aggiornamento settimanale, non nighly che possono anche lasciarti a piedi ma rilasci testati.

Tutti comprano Samsung che è il produttore con la qualità del software peggiore in assoluto e poi si lamentano che non hanno gli aggiornamenti.
È come comprare una 500 perchè è figa e poi lamentarsi perché è una fiat, lo sapevi già che è una fiat, compra un'altra auto.

E la colpa mica è di Google :D



L'OS più usato è SEMPRE quello più soggetto ad attacchi. Desktop Windows e mobile Android.

Semplicemente questo.

Su questo non ci piove, cercare bug per BB oggi vuol dire forse poter attaccare meno dell' 1% dei terminali, Android vuol dire oltre il 70% o più.

Dall' altra parte è innegabile che la chiusura della falla (se mai avverrà per tutti i terminali) con l' ecosistema Android è un' impresa lunga e difficile da portare a termine proprio per come Android è stato pensato e distribuito.

Su questo non ci piove, cercare bug per BB oggi vuol dire forse poter attaccare meno dell' 1% dei terminali, Android vuol dire oltre il 70% o più.

Solo che la renumeratività di una falla su BB non è inferiore rispetto a una su Android. BB è usata da una grossa fetta di mercato Corporate/Business, e le loro mail possono essere molto renumerative. E magari si riesce ad avere le credenziali d'accesso ai server corporate...

Non è la quantità che conta, ma la renumeratività. Linux è scarsamente diffuso, ma è usato da molti siti web. Percui una vulnerabilità Linux è più renumerativa di OSX anche se il secondo è molto più diffuso.

la filosofia opensource è un pò diversa...di solito si collabora, e quando
qualcuno mette mano al codice e lo migliora, lo rende disponibile anche agli
altri.
Qui invece abbiamo google che sviluppa e mantiene android, e tutta una
scia di parassiti (samsung, sony, htc e tutti gli altri) che si limitano a
prendere il codice, farci qualche personalizzazione e fregarsene del resto.
... e nonostante abbiano la pappa pronta come in questo caso, non fanno
nemmeno la fatica di implementarla nella 'loro' versione di android e distribuirla
ai clienti.

Non se il tuo commento riguardo i ragazzini era riferito a me, ma in ogni caso io ho espressamente parlato nel mio post di costruttori e responsabilità di garanzia. In questo caso Google non ha responsabilità, ma ha la responsabilità del suo sistema che utilizzano tutti in modo (ognun fa come vuole).
Essendo il leader del mercato con l'80% non è che se ne può lavare le mani, allora deve mettere dei paletti...
Se vuoi usare android mi devi garantire tre anni di supporto minimo, altrimenti ti fai un sistema operativo tuo e ti prendi le responsabilità, se disattendi il contratto mi paghi una penale di 500 dollari ogni dispositivo venduto, vedrai che gli passa il menefreghismo...

Non se il tuo commento riguardo i ragazzini era riferito a me, ma in ogni caso io ho espressamente parlato nel mio post si costruttori e responsabilità si garanzia. In questo caso Google non ha responsabilità, ma ha la responsabilità del suo sistema che utilizzano tutti in modo (ognun fa come vuole).
Essendo il leader del mercato con l'80% non è che se ne può lavare le mani, allora deve mettere dei paletti...
Se vuoi usare android mi devi garantire tre anni di supporto minimo, altrimenti ti fai un sistema operativo tuo e ti prendi le responsabilità, se disattendi il contratto mi paghi una penale di 500 dollari ogni dispositivo venduto, vedrai che gli passa il menefreghismo...

Non succederà mai.
Android è open, quello che i produttori distribuiscono è già un fork sulla base dei sorgenti rilasciati.
Google può far leva solo sulle gapps, ma dato che quelle sono il suo guadagno e che i produttori potrebbero mettere app di altri fornitori (es. quelle MS) non forzerà mai e poi mai la mano.

Purtroppo è la natura stessa di android a permettere questo, Google potrebbe al massimo fornire incentivi e supporto ai produttori per aumentare gli aggiornamenti.

Ci vorrebbe una legge che vincoli i produttori a fornire aggiornamenti per tutte le vulnerabilità critiche e gravi entro un certo lasso di tempo pena multe pesanti e la possibilità per i clienti colpiti di chiedere i danni.
Ovviamente basterebbero le minor release che nella maggior parte dei casi potrebbero richiedere un backport della patch e non un nuovo firmware aggiornato.

Tanto o li tocchi nel portafoglio o per loro è comunque più economico non aggiornare.

Secondo me tutti i sistemi sono violabili, questo è il classico baco "lasciato li apposta", per chi sa cosa cercare, Eccerto, infatti son tutti lì a cercare nel libstagefright ma poi leggono
####bug left intentionally for NSA, please leave open, ty, tx, bye.

e allora lo lasciano. :rolleyes:

Questo complottismo planetario non tiene conto della effettiva complessità dei sistemi informatici moderni... è molto e dico MOLTO più probabile che sia un errore che una cosa fatta apposta.

In buona sostanza, io all'acquisto di un terminale non solo acquisto il telefono, ma sottoscrivo con la casa produttrice un contratto di assistenza garantita per 2 anni, dove eventuali difetti di costruzione, conformità e buchi software devono essere chiusi dal costruttore.
1. la garanzia di 2 anni è quella europea del venditore
1.a. la garanzia del produttore non vale una sega 2 volte su 2 3

2. La garanzia europea non copre i buchi software, ma i problemi di funzionamento (un buco è un POTENZIALE problema)
2.a la garanzia del produttore non si sa esattamente cosa copra ma in genere è già tanto quando riesci a fargli coprire un problema hardware.

Quindi no, quando compri un dispositivo compri un dispositivo, punto.
Se volevi un contratto di assistenza compravi da una ditta che fa assistenza tecnica ai privati (e che tiene cyanogenmod sui terminali).

Quello è il futuro, compri un dispositivo con il suo bravo contratto di assistenza da terze parti che lo fanno.

è il prezzo da pagare per la filosofia open-source, tutti possono usarlo e chi l'ha creato all'inizio se ne lava le mani in caso di problemi.Ma che stai a di? la filosofia opensource è
"si collabora e ci guadagnano tutti, puoi copiare/forkare MA se lo fai perdi ogni supporto dalla community di partenza".

Google il suo Android lo aggiorna celermente.

Sono gli OEM che hanno fatto millemila fork e gli tira il culo aggiornarli.

vedremo quando ci metteranno a imparare la "nuova" pappardella, che semplicemente l'OS piu' usato e' quello piu' "succolento" Windows resta un buco enorme se raffrontato a Android.
Perchè alle sue varie falle e allo scarso sandboxing si aggiungono quelle del software di terze parti che tutti hanno installato, come Java, Flash, Adobe Reader, le ActiveX...... :rolleyes:

Non ci nascondiamo dietro al solito dito per le solite ragioni di tifoseria.

Android è stato progettato da zero per essere più sicuro, mentre Windows si è evoluto lungo decenni di evoluzione della tecnologia cercando di mantenere la retro-compatibilità (grossomodo), e recentemente è stato dato in mano ad una capra suprema (Ballmer) che ha fatto solo danni.

Prova a dare un Windows senza antivirus ad un utonto e vedi quanti millesimi di secondo dura prima di richiedere la purificazione rituale (il formattone) a causa di malware, toolbar, boiate, programmi all'avvio, eccetera.

Android se la cava molto ma molto meglio.

In questo caso Google non ha responsabilità, ma ha la responsabilità del suo sistema che utilizzano tutti in modo (ognun fa come vuole).No, i patti sono sempre stati palesi.
Sei libero di copiare, ma se fai un fork tutto quello che succede al tuo progetto sono cazzi tuoi.
Diamine, gli sta regalando il firmware per i dispositivi e dovrebbe anche preoccuparsi che quelli a cui lo regala lo usino bene? Ma oh! :mbe:

Essendo il leader del mercato con l'80% non è che se ne può lavare le mani, allora deve mettere dei paletti...Il leader dove scusa?
Google controlla direttamente solo i Nexus. Quello è il suo share del mercato.

Gli altri produttori copiano (legalmente) Android, lo smandruppano per farlo sembrare diverso e ci mettono il Play Store perchè i loro store merdacchiosi non competono minimamente.

Google ci guadagna solo dallo store, ma i dispositivi non sono suoi in alcun modo.

Purtroppo è la natura stessa di android a permettere questo, Google potrebbe al massimo fornire incentivi e supporto ai produttori per aumentare gli aggiornamenti.Basta che facciano come con ChromeOS, dove il firmware è pesantemente basato su uno open MA è closed, ci sono trademark e roba varia, è molto integrato coi servizi Google che gli OEM non hanno, quindi un OEM non può prendersi l'OS e fare quello che vuole.

Il problema è che farlo ora rischia di essere controproducente per i loro introiti dal Play Store, e non è il caso.

Fanno qualcosa comunque per aggiornare o tenere utili anche i dispositivi vecchi tramite i Google Play Services che fanno molte delle cose che prima facevano i "google services" di sistema dello smartphone.