Scoperta nuova grave vulnerabilità su Android, ma Google rassicura gli utenti

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/telefon...nti_53478.html

Una grave vulnerabilità di sicurezza di Android è stata scoperta e divulgata da Bluebox Security. Questa esporrebbe i dispositivi dotati del sistema operativo del robottino verde a software malevolo. Ma un fix è già stato inviato ai produttori terzi da Google

Click sul link per visualizzare la notizia.

[Ginopilot]

il problema di android e' che tanti, troppi dispositivi, anche top di gamma, spesso non ricevono gli aggiornamenti se non dopo anni, o proprio mai.

[Azib]

Altro problema è che tutte le app (anche quelle a cui non servono, tipo la torcia) chiedono l'accesso alla rubrica, mesaggi ecc... Google dovrebbe limitare, e molto, l'abuso di queste richieste.

[Balthasar85]

Quote:

Una volta installata una di queste applicazioni (ad esempio da store non controllati direttamente da Google) i dati degli utenti saranno potenzialmente a rischio. Un eventuale trojan horse precaricato potrà uscire tranquillamente dalla sandbox e recuperare qualsiasi tipologia di informazioni presente sul dispositivo in uso.

Mi domando se davvero cambi qualcosa a rivolgersi allo store di Google o a terzi.



CIAWA

[nardustyle]

xda is the way ...

oggi apro il thread della mia rom preferita:

Changes:
Synced with official build 6.9
Patched Fake ID security vulnerability




nemmeno il tempo di leggere la news e ho già la soluzione grazie open source

[Mparlav]

La maggior parte degli aggiornamenti vengono ormai ricevuti tramite Google Play Services.
Diverso il discorso per i dispositivi Android AOSP, oltre ai market alternativi.

[nickmot]

Quote:

Originariamente inviato da emiliano84

capita a tutti gli os con maggior market share... l'unico problema qui a differenza di altri e' il rilascio degli aggiornamenti

E' IL problema, secondo me Google deve dare un giro di vite OBBLIGANDO i produttori a fornire gli aggiornamenti per un certo numero di mesi e comunque entro X tempo dalla release se questa contien fix a bug critici come questo, pena il non avere la certificazione per l'uso dei servizi google (market in primis) per i dispositivi che non rispettano tali vincoli.

[calabar]

@nickmot
Sono perfettamente d'accordo, ma non è così semplice.
Le installazioni AOSP sono sempre più comuni, e così Google rischia che i produttori trovino soluzioni alternative, e già ora fa fatica a trattenere produttori come è avvenuto con Samsung. É tutta una questione di peso politico.
Per questo Google sta spostando quanti più servizi possibile in google play services, che è in pratica la parte del sistema che viene costantemente aggiornata.

[Ginopilot]

Quote:

Originariamente inviato da Bivvoz

Quello che dici è vero ma cosa cavolo centra in questo caso visto che il bug c'è anche nella 4.4.4 e nella pre di andorid L?

Che quando verra' corretto, oltre il 90% dei terminali ne saranno sprovvisti per molto tempo se non per sempre.

[pabloski]

Ehm, ma prima di commentare, qualcuno si è degnato di approfondire? Leggete qua

http://www.osnews.com/story/27868/An...security_story
http://www.osnews.com/story/27862/Tr...droid_security

Questi ci mangiano. Trovano un forellino e lo spacciano per una voragine. E poi voialtri passate giorni ad azzuffarsi su un forum.

[nickmot]

Quote:

Originariamente inviato da calabar

@nickmot
Sono perfettamente d'accordo, ma non è così semplice.
Le installazioni AOSP sono sempre più comuni, e così Google rischia che i produttori trovino soluzioni alternative, e già ora fa fatica a trattenere produttori come è avvenuto con Samsung. É tutta una questione di peso politico.
Per questo Google sta spostando quanti più servizi possibile in google play services, che è in pratica la parte del sistema che viene costantemente aggiornata.

Mah... Non so quanto sarebbero appetibili sul mercato terminali privi di servizi google, almeno alle grandi masse.
La questione Google Play Services è delicata, non tutto potrà essere aggiornato, inoltre da quando google ha avviato questa politica (Novembre se non sbaglio) ad ogni aggiornamento il mio terminale è divenuto sempre più lento (fino a diveniere inusabile con continui blocchi, force close di app anche in uso e freeze di decine disecondi), si è riempito di app google di sistema non disinstallabili e sono stato costretto ad installare cyanogen per avere un terminale un minimo decente. Ho il sospetto che non tengano molto in considerazione modelli non recentissimi.

Io mi auguro che Android Silver vada nella direzione che dicevo sopra.

Quote:

Originariamente inviato da pabloski

Ehm, ma prima di commentare, qualcuno si è degnato di approfondire? Leggete qua

http://www.osnews.com/story/27868/An...security_story
http://www.osnews.com/story/27862/Tr...droid_security

Questi ci mangiano. Trovano un forellino e lo spacciano per una voragine. E poi voialtri passate giorni ad azzuffarsi su un forum.

Allora, anche questa sarà l'ennesima falla difficilmente sfruttabile (almeno non senza interventi utente), ma il problema sulle politiche di aggiornamento nel mondo android esista, non possimo nasconderci dietro al fatto che finora non siano emerse falle realmente critiche.

[pabloski]

Quote:

Originariamente inviato da nickmot

ma il problema sulle politiche di aggiornamento nel mondo android esista, non possimo nasconderci dietro al fatto che finora non siano emerse falle realmente critiche.

Il problema esiste e Google non lo nega, tant'è che ha bacchettato gli OEM proprio su questo punto.

Ma che le compagnie di antivirus, per poter campare, vadano in giro a fare terrorismo mediatico, è una cosa vergognosa.

Se troppo un buco non vado in giro a raccontare di aver trovato una voragine. Il problema è che poi magari c'è pure gente che ci crede, gente che magari passa ad Apple ( che sappiamo essere molto solerte nell'inserire backdoor nei suoi sistemi ) credendo di essersi messa al sicuro.

[litocat]

Quote:

Originariamente inviato da pabloski

Ehm, ma prima di commentare, qualcuno si è degnato di approfondire? Leggete qua

http://www.osnews.com/story/27868/An...security_story
http://www.osnews.com/story/27862/Tr...droid_security

Questi ci mangiano. Trovano un forellino e lo spacciano per una voragine. E poi voialtri passate giorni ad azzuffarsi su un forum.

La falla è difficilmente sfruttabile, perché c'è il bouncer di google che impedisce l'installazione di app che la sfruttano (almeno in teoria...). Ma dire che così va bene è come dire che Microsoft può smettere di distribuire aggiornamenti di sicurezza, perché tanto l'antivirus blocca l'esecuzione dei programmi che sfruttano i buchi che quegli aggiornamenti dovrebbero tappare.

Anche se questa vulnerabilità è difficilmente sfruttabile, non è fare sensazionalismo dire che c'è un problema di fondo nella gestione degli aggiornamenti che Google e gli OEM dovrebbero risolvere.

[pabloski]

Quote:

Originariamente inviato da litocat

La falla è difficilmente sfruttabile, perché c'è il bouncer di google che impedisce l'installazione di app che la sfruttano (almeno in teoria...). Ma dire che così va bene è come dire che Microsoft può smettere di distribuire aggiornamenti di sicurezza, perché tanto l'antivirus blocca l'esecuzione dei programmi che sfruttano i buchi che quegli aggiornamenti dovrebbero tappare.

Anche se questa vulnerabilità è difficilmente sfruttabile, non è fare sensazionalismo dire che c'è un problema di fondo nella gestione degli aggiornamenti che Google e gli OEM dovrebbero risolvere.

Ma infatti non ho detto che va bene. E imho il sensazionalismo c'è stato, dato che hanno suonato le fanfare, messo un cartellone gigante con la scritta WARNING e scritto un articolo apocalittico per descriverla. E in fondo alla pagina trovi sempre scritto "questa cosa non succede a chi ha installato il nostro software di sicurezza".

[Insert coin]

Come mai tanta vulnerabilita' in un sistema operativo basato su Linux?

[andrew04]

Quote:

Originariamente inviato da Insert coin

Come mai tanta vulnerabilita' in un sistema operativo basato su Linux?

Il fatto che sia basato su Linux non rende immune il resto del software che ci metti sopra o vicino (insomma se prendo una distribuzione linux e ci installo internet explorer tramite wine non è che automaticamente internet explorer si autocorregge dalle sue falle)
il kernel linux è tra i più sicuri, ma per i miracoli non è ancora attrezzato

Quote:

Originariamente inviato da emiliano84

Non significa nulla ... ciò che influisce è il market share ... maggiore market share, maggiore voglia di trovare falle

Relativamente, IE ormai ha meno market share di Chrome/ium e poco più di Firefox(ed entrambi sono opensource, il che facilità la possibilità di trovare falle) eppure sono sono state trovate più falle nel primo semestre del 2014

[pabloski]

Quote:

Originariamente inviato da Insert coin

Come mai tanta vulnerabilita' in un sistema operativo basato su Linux?

Ti rispondo facendoti notare che la vulnerabilità NON si trova nel kernel Linux.

[lockheed]

Quote:

Originariamente inviato da andrew04

Relativamente, IE ormai ha meno market share di Chrome/ium e poco più di Firefox(ed entrambi sono opensource, il che facilità la possibilità di trovare falle) eppure sono sono state trovate più falle nel primo semestre del 2014

Embhè ma devi capire che certa gente continua ad associare il Market Share con le falle.
Non ammetterà mai che se un sistema è una chiavica che fa acqua da tutte le parti, lo sarà sempre anche se lo usano 2 persone al mondo.

[Pier2204]

Quote:

Originariamente inviato da lockheed

Embhè ma devi capire che certa gente continua ad associare il Market Share con le falle.
Non ammetterà mai che se un sistema è una chiavica che fa acqua da tutte le parti, lo sarà sempre anche se lo usano 2 persone al mondo.

Si sta parlando di falle di Android in questo Thread e visto che non bisogna associare il Market share con le falle allora direi che WP vince su Android 10 a 0

Adesso mi raccomando postate le falle di Internet Explorer 6 desktop che in questo thread centra come i cavoli a merenda