Pichai: 'Android non è sviluppato per essere sicuro, ma per essere open'

[pabloski]

Quote:

Originariamente inviato da Solemareluna

Scusate ma io so che android non è che sia tutto questo opensource.
Cioè, tra i progetti open è il meno open.

C'è stata una diatriba incredibile la settimana scorsa, proprio su questo punto. OSNews ha ribadito che si tratta di opensource a tutti gli effetti, idem alcuni ingegneri di Google, mentre un articolista di Arstechnica ha sostenuto il contrario.

Comunque sia, AOSP ( Android Open Source Project ) è 100% codice aperto. Puoi farci quello che vuoi. Forkarlo, ricompilarlo, modificarlo, ecc...

A non essere open sono i Google Web Services ( mappe, gmail, google+, play store e via dicendo ). Tuttavia, anche senza GWS puoi crearti un sistema Android 100% funzionante.

Per lo meno Google ha sempre distinto nettamente Android dai suoi servizi proprietari.

Quote:

Originariamente inviato da Solemareluna

Questi sono, non solo nel campo dei cell ma in tutti gli ambiti, i requisiti ideali per abbassare il livello di sicurezza.

E' vero, se consideriamo nel mix anche gli OEM pasticcioni e che non aggiornano il software.

Però è anche il metodo più rapido per garantire la diffusione di un sistema e di creare un'ecosistema in cui i vari attori ( oem, odm, sviluppatori, utenti ) possano godere di massima libertà di scelta e d'azione. Giusto a titolo d'esempio, la società capitalistica è basata sullo stesso principio di totale apertura. Windows si è impostato sui pc per lo stesso motivo!

Quote:

Originariamente inviato da Solemareluna

Lo trovo ridondante, caotico, e privo totalmente di privacy.

Non che apple ti garantisca maggiore privacy, visto che tutte le multinazionali americane vanno a braccetto con la NSA.

[andrew04]

Quote:

Originariamente inviato da jappilas

"pace" per modo di dire
oltre a non essere applicato un minimo di controllo sulle applicazioni presenti e sulle capability effettivamente necessarie caso per caso in base al tipo di app, sul play store non sono indicati i permessi richiesti da una applicazione o gioco prima di scaricarlo, sono indicati dopo, al momento di installare l' apk una volta scaricato
a me pare ci sia una certa differenza, a te no? in particolare non pensi che un utente potrebbe, vedendo che una app richiede l' accesso completo, pensarci due volte prima di scaricarla (soprattutto se a pagamento)?
belìn (genovesismo)

Stai sparando falsità ed inesattezze a non finire, dimostrazione che non sapete neanche di quello che parlate:
Play Store mostra i permessi prima di iniziare il download, questa è la schermata che esce subito dopo aver premuto "installa"(che però comprende anche il download)
https://www.dropbox.com/s/rbea9xuzyk...2018.15.18.png

Inoltre il controllo è assente anche su Windows Store
http://www.windowsphone.com/en-gb/st...4-bff979c0fce9

[FunnyDwarf]

Quote:

Originariamente inviato da jappilas

perchè se io scarico, ribadisco dal play store (quindi una fonte affidabile, non proprio un sito warez) un qualunque gioco che so non essere "social" (quindi non avere bisogno di accesso alla rete nè tantomeno alla mia SIM) pagandolo anche 3-4 euro, mi aspetto di poterlo installare e usare confidando che non faccia porcate
ma se al momento di installarlo mi è richiesto di autorizzare in blocco tutta la serie di capabilities, pena non poter giocare (sprecando di fatto i soldi dell' acquisto)

fortunatamente si puo' chiedere il rimborso entro 15 minuti dall'acquisto. Certo troverei più corretto poter leggere le autorizzazioni prima dell'acquisto e non solo al momento del download.

[maxmax80]

Quote:

Originariamente inviato da pabloski

E Sasser? E tutti gli altri worm che ti bucavano senza che tu dovessi premere un tasto? Vedi, su Android questo genere di malware NON ESISTE!!!

ma non importa, io non stavo parlando del tipo di attacco, io stavo parlando della statistica degli attacchi.

Quote:

Originariamente inviato da pabloski

Tutto qui. E' inutile che porti avanti le solite provocazioni, fingendo di non capire che un software malevolo INSTALLATO DALL'UTENTE è molto diverso da uno che SI INSTALLA DA SOLO sfruttando bug nel software.

nessuna provocazione.
quello che tu dici è molto diverso su tutti i SO, non solo su android.

[andrew04]

Quote:

Originariamente inviato da FunnyDwarf

fortunatamente si puo' chiedere il rimborso entro 15 minuti dall'acquisto. Certo troverei più corretto poter leggere le autorizzazioni prima dell'acquisto e non solo al momento del download.

FALSO! Sono scritte PRIMA del pagamento! Sia da web che da android!
https://www.dropbox.com/s/mlocdt86r6...2018.33.18.png
https://www.dropbox.com/s/fk0axhk4cr...2018.34.26.png (per dimostrarvi che non sono in possesso dell'applicazione)

Da web...
https://www.dropbox.com/s/3gvcasyhlk...1%3A44_001.png

[FunnyDwarf]

ricordavo male, tanto meglio.

[pabloski]

Quote:

Originariamente inviato da maxmax80

ma non importa, io non stavo parlando del tipo di attacco, io stavo parlando della statistica degli attacchi.

ok, quindi stai dicendo che google fa poco per tenere lontani i trojan, giusto!?!

però non puoi non ammettere che android ( il software ) sia molto molto robusto e sicuro

ma se parliamo di trojan, store e utenti, noterai che l'anello debole è proprio quest'ultimo....un sistema operativo non ha nessun modo di riconoscere "a pelle" un malware

c'hanno provato i produttori di antivirus, si sono inventati elenchi pieni di firme virali, c'hanno provato con le euristiche, hanno provato a studiare il comportamento dei programmi per scovare i malware....nada, niet, non ci si riesce!!!

google può solo aumentare i controlli sul SUO store, ma resterebbero comunque fuori gli OEM pasticcioni/svogliati/incompetenti/malevoli e gli store di terze parti

è il prezzo da pagare per la libertà, altrimenti si compra un fascist-phone della Apple e pace ( ammesso che siano più sicuri per davvero!! )

[LMCH]

Quote:

Originariamente inviato da maxmax80

eccomese importa.
android è il sistema più diffuso, ma dove i virus entrano con più facilità.

QUALI virus ? Esiste una precisa definizione di virus informatici e per quelli Andorid sta a zero.

Quote:

Originariamente inviato da maxmax80

semplicemente non è così, lo dice la statistica.

Su Windows girano VERI virus informatici, su Android no. Questo ci dicono le statistiche. Per questo è sin troppo ovvio che le misure di sicurezza di Android sono buone.

Quote:

Originariamente inviato da maxmax80

il tuo ragionamento non va bene: è già da utente android evoluto, non dal ragazzino o dalla signora di mezza età al quale regalano il cellulare per il compleanno.

Il mio ragionamento non era riferito all'utente ma ai produttori di dispositivi, se non lo fanno è perche il livello di sicurezza è sufficientemente buono per l'uso comune.

Quote:

Originariamente inviato da maxmax80

ma con Windows Phone o iOS non he hai bisogno.

CREDI di non averne bisogno, visto che entrambe le aziende che stanno dietro di essi prediligono l'approccio "security by obscurity", ma chiunque abbia fatto una seria analisi dei rispettivi SO ha ben evidente che si basano essenzialmente sugli stessi meccanismi di sicurezza usati su Android.

I "cattivi" non hanno alcun interesse a rendere pubblica l'esistenza di falle da cui ricavano soldi in un modo o l'altro, se i sorgenti non sono accessibili il produttore ha ancor meno incentivi a rendere pubblici difetti o problemi gravi e fornire i relativi fix ed aggiornamenti, così alla fine chi se lo prende in quel posto è l'utente che crede di avere un sistema più sicuro ma che in pratica è messo peggio che con Android.

Quote:

Originariamente inviato da maxmax80

scusa, ma questo non significa proprio nulla.
la US army (che per me può pure chiudere domani stesso) immagino che realizzi un sistema totalmente personalizzato e blindato.
poi se fra 1 anno uscirà la notizia che sfruttando una falla gli hanno violato il sistema, ci faremo tutti delle grasse risate!

Significa che hanno scartato sia WP che iOS perchè erano quantomeno non migliori sul lato della sicurezza.

[Dario771]

Quote:

Originariamente inviato da LMCH

QUALI virus ? Esiste una precisa definizione di virus informatici e per quelli Andorid sta a zero.



Su Windows girano VERI virus informatici, su Android no. Questo ci dicono le statistiche. Per questo è sin troppo ovvio che le misure di sicurezza di Android sono buone.


Il mio ragionamento non era riferito all'utente ma ai produttori di dispositivi, se non lo fanno è perche il livello di sicurezza è sufficientemente buono per l'uso comune.



CREDI di non averne bisogno, visto che entrambe le aziende che stanno dietro di essi prediligono l'approccio "security by obscurity", ma chiunque abbia fatto una seria analisi dei rispettivi SO ha ben evidente che si basano essenzialmente sugli stessi meccanismi di sicurezza usati su Android.

I "cattivi" non hanno alcun interesse a rendere pubblica l'esistenza di falle da cui ricavano soldi in un modo o l'altro, se i sorgenti non sono accessibili il produttore ha ancor meno incentivi a rendere pubblici difetti o problemi gravi e fornire i relativi fix ed aggiornamenti, così alla fine chi se lo prende in quel posto è l'utente che crede di avere un sistema più sicuro ma che in pratica è messo peggio che con Android.



Significa che hanno scartato sia WP che iOS perchè erano quantomeno non migliori sul lato della sicurezza.

Certo paragonare i virus di un S.O. desktop con quelli di un S.O. mobile..

La US Army (e tante altre forze armate) usa windows mobile.. se ora sceglie di usare Android (la versione Aosp) è per staccarsi da microsoft e crearsi un S.O. proprietario partendo da quel codice (come stanno facendo i cinesi tra l'altro..).

Peccato che tutti dimenticano che AOSP (il progetto Open Source) è GOOGLE (che non mi pare sia una Multinazionale Indonesiana..), lei sceglie di rendere libero quel codice.. e tra l'altro vari componenti AOSP sono rimasti al 2010..

In ogni caso è una polemica inutile.. OGNI sistema ha le sue falle, le uniche armi di difesa sono 1) La chiusura (vedi WP e IOS) 2) la scarsa diffusione..

[pabloski]

Quote:

Originariamente inviato da Dario771

e tra l'altro vari componenti AOSP sono rimasti al 2010..

Non scriviamo inesattezze please https://github.com/android

Guarda le date dei commits e noterai che i repository sono aggiornati. Del resto Android x86 e tutti i vari Android-bastardizzati non mi pare usino versioni dei sorgenti del 2010!!

[LMCH]

Quote:

Originariamente inviato da Dario771

In ogni caso è una polemica inutile.. OGNI sistema ha le sue falle, le uniche armi di difesa sono 1) La chiusura (vedi WP e IOS) 2) la scarsa diffusione..

La chiusura NON è una difesa efficace, tutti i precedenti SO "chiusi" sono sempre stati pieni di falle da paura, ufficialmente ignote all'azienda stessa che li sviluppava ma ampiamente in uso tra i "cattivi".
Non parliamo poi di backdoor ed uova di pasqua inserite per motivi di ogni genere.

[LMCH]

Quote:

Originariamente inviato da Dario771

La US Army (e tante altre forze armate) usa windows mobile.. se ora sceglie di usare Android (la versione Aosp) è per staccarsi da microsoft e crearsi un S.O. proprietario partendo da quel codice (come stanno facendo i cinesi tra l'altro..).

Primo: chi sviluppa dispositivi basati su Windows Mobile ha accesso ai sorgenti (licenza shared source).
Secondo: fornitori della difesa producevano dispositivi che usavano Windows CE o Windows Mobile, ma le specifiche che interessavano ai militari era il rispetto dei protocolli di comunicazione e le funzionalita del software, non lo specifico SO utilizzato.
Terzo: non hanno alcuna intenzione di sviluppare un SO proprietario, vogliono semplicemente una versione di Android "blindata" perchè altrimenti perdono uno dei vantaggi principali (l'ecosistema di tool e sviluppatori).

[Dario771]

Quote:

Originariamente inviato da pabloski

Non scriviamo inesattezze please https://github.com/android

Guarda le date dei commits e noterai che i repository sono aggiornati. Del resto Android x86 e tutti i vari Android-bastardizzati non mi pare usino versioni dei sorgenti del 2010!!

Non so se siano inesattezze.

In rete trovi molto materiale, ad es:

http://www.pionero.it/2013/11/08/goo...ce-di-android/

[Dario771]

Quote:

Originariamente inviato da LMCH

La chiusura NON è una difesa efficace, tutti i precedenti SO "chiusi" sono sempre stati pieni di falle da paura, ufficialmente ignote all'azienda stessa che li sviluppava ma ampiamente in uso tra i "cattivi".
Non parliamo poi di backdoor ed uova di pasqua inserite per motivi di ogni genere.

Non lo so.. Un sistema chiuso che non permette accesso ai sui file di sistema più delicati è certamente più sicuro al di là della bontà in se del S.O.

Certo si deve arrivare ad un compromesso Libertà/sicurezza, e questo vale non solo per i S.O.

In ogni caso volevo solo chiarire che per me Android è un sistema "Sicuro" quanto gli altri, in alcuni aspetti migliore, in altri peggiore.

[maxmax80]

Quote:

Originariamente inviato da pabloski

ok, quindi stai dicendo che google fa poco per tenere lontani i trojan, giusto!?!

per niente, non sto dicendo questo.
sto solo dicendo che la statistica dice che android non è sicuro

Quote:

Originariamente inviato da pabloski

però non puoi non ammettere che android ( il software ) sia molto molto robusto e sicuro

se lo fai usare da un utente evoluto che non installa porcherie ed ha una navigazione accorta?
certo, come tutti i SO

Quote:

Originariamente inviato da pabloski

ma se parliamo di trojan, store e utenti, noterai che l'anello debole è proprio quest'ultimo....un sistema operativo non ha nessun modo di riconoscere "a pelle" un malware

certo, un SO è inanimato.
ma questo vale per tutti i SO

Quote:

Originariamente inviato da pabloski

google può solo aumentare i controlli sul SUO store, ma resterebbero comunque fuori gli OEM pasticcioni/svogliati/incompetenti/malevoli e gli store di terze parti

non lo discuto mica quello che Google può fare o non fa.
io intanto avrei evitato di riempire lo store di migliaia di app cloni di se stesse tanto per fare numeroni per far parlare le masse..

Quote:

Originariamente inviato da pabloski

è il prezzo da pagare per la libertà, altrimenti si compra un fascist-phone della Apple e pace ( ammesso che siano più sicuri per davvero!! )

libertà di un SO con il gigante Google alle spalle?
ma per piacere..

[Dario771]

Quote:

Originariamente inviato da LMCH

Primo: chi sviluppa dispositivi basati su Windows Mobile ha accesso ai sorgenti (licenza shared source).
Secondo: fornitori della difesa producevano dispositivi che usavano Windows CE o Windows Mobile, ma le specifiche che interessavano ai militari era il rispetto dei protocolli di comunicazione e le funzionalita del software, non lo specifico SO utilizzato.
Terzo: non hanno alcuna intenzione di sviluppare un SO proprietario, vogliono semplicemente una versione di Android "blindata" perchè altrimenti perdono uno dei vantaggi principali (l'ecosistema di tool e sviluppatori).

Grazie per le precisazioni.

Questo significa che svilupperanno su Android software degno di chiamarsi tale..

Su Windows Mobile (che ho usato dal 2003 al 2010, e che ancora uso sporadicamente) non esistevano App.. ma software veri e propri che in molti casi ancora non hanno una controparte all'altezza sui S.O. mobili attuali (e mi riferisco a IOS, Android e WP).

[Dario771]

Quote:

Originariamente inviato da maxmax80

libertà di un SO con il gigante Google alle spalle?
ma per piacere..

E' quello che dico io.. non capisco perchè MS ed Apple siano i cattivi e Google il santo.. oggi tutti i S.O. sono veicoli per immagazzinare più informazioni possibili su di noi allo scopo di venderci qualcosa.. Google gli utili come li fa? Distribuendo Santini?

Penso ci sia tanto rincoglionimento in giro..

[andrew04]

Quote:

Originariamente inviato da Dario771

E' quello che dico io.. non capisco perchè MS ed Apple siano i cattivi e Google il santo.. oggi tutti i S.O. sono veicoli per immagazzinare più informazioni possibili su di noi allo scopo di venderci qualcosa.. Google gli utili come li fa? Distribuendo Santini?

Penso ci sia tanto rincoglionimento in giro..

Android può essere tranquillamente installato sui dispositivi(e non parlo di custom rom ma di produttori) privo di qualsiasi applicazione Google, per non parlare del fatto che si possono installare store alternativi ed apk singolarmente ed altre cose del genere... questa non è libertà?

Con Windows Phone ed iOS puoi fare altrettanto? Non mi pare

[pabloski]

Quote:

Originariamente inviato da Dario771

Non so se siano inesattezze.

In rete trovi molto materiale, ad es:

http://www.pionero.it/2013/11/08/goo...ce-di-android/

appunto

lì c'è scritto che search, musica, mappe, ecc... non fanno di AOSP, ma questo si sapeva già

tu avevi scritto che il codice di AOSP è rimasto fermo al 2010, cosa assolutamente non veritiera

Quote:

Originariamente inviato da maxmax80

per niente, non sto dicendo questo.
sto solo dicendo che la statistica dice che android non è sicuro

ricominciamo con le rigirate di frittata? l'altra volta ti sei beccato una sospensione e io un'ammonizione

non intendo cascare nello stesso tranello

mi pare di aver ben chiarito che il tuo "android non è sicuro" non si può riferire al software, perchè quest'ultimo non ha visto vulnerabilità SOFTWARE sfruttate da worm e compagnia per diffondersi sui dispositivi android

gli unici malware sono trojan, necessitano che l'utente li scarichi, li installi e gli conceda i permessi richiesti....e questa non è solo statistica, ma un fatto!!!!

sei d'accordo su quest'ultimo punto o vuoi ancora rigirare la frittata?

Quote:

Originariamente inviato da maxmax80

se lo fai usare da un utente evoluto che non installa porcherie ed ha una navigazione accorta?
certo, come tutti i SO

no, perchè nemmeno un utente evoluto ed accorto può evitare un'infezione da worm

Quote:

Originariamente inviato da maxmax80

libertà di un SO con il gigante Google alle spalle?
ma per piacere..

chiedilo ad Amazon o ai millemila vendor cinesi che usano AOSP senza restrizioni e censure da parte di Google

[jappilas]

Quote:

Originariamente inviato da andrew04

La falla in cui un malware può propagarsi senza la richiesta di interazione dall'utenza (sasser ti ricorda niente? Attaccava anche i server oltre ai desktop)

infatti io non mi riferivo alla richiesta di interazione dell' utenza in sè, parlavo di quali e quanti strati sw sono installati e a runtime attraversati, per servirla
parlavo di quella che in altre occasioni è definita "superficie attaccabile"
la quale su un web server e su un desktop sarà differente in semplice conseguenza dell' avere installato, il primo giusto l' essenziale al funzionamento ed eventualmente alla gestione del servizio, il secondo tutto ciò che può servire per fornire un' esperienza utente completa
il problema di sasser è che un servizio vulnerabile era installato per default andando ad aumentare (in maniera prevedibile) la superficie attaccabile

Quote:

o un malintenzionato accedere al computer e prenderne il controllo può esserci sia nei server che nei desktop, e dato che linux è presente prevalentemente sui server cosi come windows è presente prevalentemente sui desktop la teoria che "linux non è attaccato perché poco utilizzato" non ha il minimo senso

così come non ne ha quella "è utilizzato sui server web ERGO è sicuro" (che in effetti è una logica fallace per vari motivi)

in realtà se si specifica "..poco utilizzato sui desktop" - cioè dove sarebbe più remunerativo attaccarlo - la frase sopra acquista un certo senso...

Quote:

i siti più importanti girano su linux, e ci sarebbe tutto il motivo di attaccarli

ma anche no...
il motivo per cui si attacca i client è perchè è appunto molto più redditizio (*) e a più alte probabilità di successo (**) e richiede il minore sforzo (***)

(*) i terminali contengono o generano dati effettivamente sensibili, e sono estremamente più numerosi (anche di vari ordini di grandezza) dei server, mentre un server Web di per sè difficilmente contiene dati sensibili... anche i DB di supporto dei sistemi affacciati su web, operano tipicamente su server a parte o istanze vmware a parte, che è quasi lo stesso, separati da livelli di firewalling - e non è detto che l' os su cui girano sia a sua volta linux
(**) sui server l' immagine binaria (kernel - versione base più customizzazioni della distribuzione specifica - più librerie - idem - e altri servizi) di runtime se non si può dire unica per ogni sistema, quantomeno si ripete identica con molta minore frequenza, e di conseguenza anche la diffusione di un exploit una volta trovata una vulnerabilità sarà molto più contenuta, di sistemi su cui uno stesso OS è deployed invariato (o al più in una manciata di varianti, peraltro compatibili tra loro) in centinaia di milioni se non miliardi di copie
(***) preso controllo del sistema, su un client i dati di valore sono a portata di mano, mentre su un server sarebbe solo il primo passo per poi andarli a cercare sulla rete interna - ammesso e non concesso che il server web e quello aziendale siano sulla stessa rete, sarebbe comunque un lavoro non da poco)

Quote:

(http://toolbar.netcraft.com/stats/topsites , guardati i report di ogni sito)

i report mi dicono che usano linux come webserver - quello che posso dire è: bene, buon per loro
ma i report mi dicono qualcosa sul modello di sicurezza di android (che oltre a una versione customizzata di linux prevede una userland del tutto differente da quella tipica di uno stack LA*P)? no? allora non sono rilevanti in questo contesto...

Quote:

p.s.
ho detto che ha sparato idiozie, non che è idiota

fidati, è lo stesso
la seconda è una vera e propria offesa, ma anche tacciare l' interlocutore di "sparare idiozie" non combacia con la definizione di educazione e rispetto per esso, da ex moderatore ti posso dire che una volta saresti stato ammonito lo stesso

Quote:

Stai sparando falsità ed inesattezze a non finire, dimostrazione che non sapete neanche di quello che parlate:

ti dirò... ammetto di poter ricordare male od essere rimasto ad una vecchia versione del client Google Play dato l' uso a dir poco sporadico che ho fatto dello smartphone (al di fuori del testing di applicazioni sviluppate da me)

e potrei anche dirti di essere contento di sbagliarmi su questo particolare punto, se le nuove versioni client permettono di conoscere a priori i permessi necessari, tanto meglio
ma c'è modo e modo di farlo notare