Quadrooter, le falle dei chip Qualcomm mettono a rischio 900 milioni di cellulari Android

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...oid_63981.html

Le patch per tre delle falle sono già disponibili, e prossimamente sarà distribuita anche la quarta patch. Gli utenti devono però attendere che il produttore del telefono in loro possesso decida di distribuirle

Click sul link per visualizzare la notizia.

[Il Picchio]

Per i telefoni più vecchi di 2 anni aspetteremo le patch con il nuovo terminale che compreremo. Come per tutto, come al solito.

[Alessio.16390]

Guardo quella lista di telefonini,
si parte da
Snapdragon 800 (Z Ultra)
passando a 801 (OPO 1)
805 (Nexus 6)
808 (G4)
810 (OPO 2)
820 (OPO 3)

E poi c'è l'HTC One che monta APQ8064T (Snapdragon 600)

La fascia bassa no? Tipo i 400.. ?
Mi pare assurdo.

[Axios2006]

Samsung non vedrà più un cent da me.

Dopo 3 smartphone ed 1 tablet tutti mai aggiornati tranne minor version, basta.

Nexus e Pixel C in futuro.

[evil weasel]

Le vulnerabilità sono già state patchate con il security bulletin del 5 agosto, I nexus e chi usa Cyanogenmod è già al sicuro.
Oltre tutto poi mi sembra la solita notizia iper allarmistica, non è un remote exploit come nel caso di stagefright, qui l'utente per essere infettato deve volontariamente installare una app malevola.

Molto interessante anche il fatto che per controllare se si è vulnerabili sia necessario installare una app closed source che non si ha la minima idea di cosa faccia.

[pabloski]

Quote:

Originariamente inviato da Axios2006

Samsung non vedrà più un cent da me.

Dopo 3 smartphone ed 1 tablet tutti mai aggiornati tranne minor version, basta.

Nexus e Pixel C in futuro.

Xiaomi se non disdegni i prodotti cinesi

Le nuove major release arrivano dopo mesi, ma riguardo i fix non c'e' storia rispetto agli OEM fancazzisti Samsung-style.

[nickmot]

Quote:

Originariamente inviato da Il Picchio

Per i telefoni più vecchi di 2 anni aspetteremo le patch con il nuovo terminale che compreremo. Come per tutto, come al solito.

Già... Il problema è che con questo comportamento NON mi stanno spingendo a comprare un nuovo terminale, anzi.

Quote:

Originariamente inviato da Axios2006

Samsung non vedrà più un cent da me.

Dopo 3 smartphone ed 1 tablet tutti mai aggiornati tranne minor version, basta.

Nexus e Pixel C in futuro.

Purtroppo Samsung è in (cattiva) compagnia di praticamente qualunque produttore Android.
Anche il supporto dei Nexus al momento è insufficiente rispetto alla vita utile del terminale.

Quote:

Originariamente inviato da evil weasel

Le vulnerabilità sono già state patchate con il security bulletin del 5 agosto, I nexus e chi usa Cyanogenmod è già al sicuro.
Oltre tutto poi mi sembra la solita notizia iper allarmistica, non è un remote exploit come nel caso di stagefright, qui l'utente per essere infettato deve volontariamente installare una app malevola.

Molto interessante anche il fatto che per controllare se si è vulnerabili sia necessario installare una app closed source che non si ha la minima idea di cosa faccia.

Ok, questa vulnerabilità è più complicata da sfruttare, ma far installare un'app malevola non è così impossibile, anche in virtù del fatto che non è impossibile farle arrivare sullo store.

I possessori di Nexus e gli utilizzatori di cyanogen sono comunque una ristretta minoranza rispetto ai potenziali utenti con questa vulnerabilità nei loro terminali.
Se guardo la lista dei SoC coinvolti mi sento male:

Snap 600----> Tutti i Galaxy S4 in circolazione
Snap 800----> Tutta la gamma Xperia da Z a Z2, LG G2 e chissà quanti altri
Snap 801/805----> Gamma Xperia Z3, Galaxy S5, LG G3, etc.

Devo continuare?
In linea generale non sono per fare allarmismo, ma visto la scarsissima attenzione dei produttori al tema sicurezza ed aggiornamenti sono daccordo nel diffondere quanto più possibile queste notizie e metterli il più possibile in cattiva luce.

[WarDuck]

Confermo che anche il Moto G 1st gen è affetto dalle 4 vulnerabilità.

Android 5.1 con Livello patch sicurezza Android 2016-03-01.

Ora ho sbloccato il bootloader mi sa che non riceverò gli aggiornamenti OTA.

Comunque che voi sappiate, esiste un brand telefonico che mette a disposizione drivers open?

I Nexus come stanno messi da questo punto di vista? E Asus con lo Zenfone?

[nickmot]

Quote:

Originariamente inviato da WarDuck

Confermo che anche il Moto G 1st gen è affetto dalle 4 vulnerabilità.

Android 5.1 con Livello patch sicurezza Android 2016-03-01.

Ora ho sbloccato il bootloader mi sa che non riceverò gli aggiornamenti OTA.

Comunque che voi sappiate, esiste un brand telefonico che mette a disposizione drivers open?

I Nexus come stanno messi da questo punto di vista? E Asus con lo Zenfone?

Che io sappia Qualcomm ha i driver open per i sui snapdragon, quindi ogni telefono che usi i suoi SoC ha ha disposizion tali driver.
Per gli Zenfone non so come si comporti Intel.

[LazyAfternoons]

Quote:

Originariamente inviato da evil weasel

Le vulnerabilità sono già state patchate con il security bulletin del 5 agosto, I nexus e chi usa Cyanogenmod è già al sicuro.
Oltre tutto poi mi sembra la solita notizia iper allarmistica, non è un remote exploit come nel caso di stagefright, qui l'utente per essere infettato deve volontariamente installare una app malevola.

Molto interessante anche il fatto che per controllare se si è vulnerabili sia necessario installare una app closed source che non si ha la minima idea di cosa faccia.

Quoto tutto. Oltre al fatto che l'app stessa mi sembra un bait per fare pubblicità al loro "Antivirus" per Android.

[Il Picchio]

Si non è che siccome è un problema relativamente meno grave allora va bene che non ci danno il supporto magari dopo 400-600 euro pagati 2 anni fa.
Io di sta storia mi sono rotto, non sono io che devo lavorare a cercarmi la rom buona e aggiornata perche gli oem non danno supporto.

Mai più android. Mi dispiace per la poca scelta al di fuori di questo os ma per me se spendo 400-600 euro supporto fino a fine vita utile la devo avere, a costo di pagarne 100 in più

Per stagefright quanti hanno ricevuto la patch? Io no e so che molti altri non hanno visto niente. Va bene cosi ancora?

[pabloski]

Quote:

Originariamente inviato da Il Picchio

Mai più android. Mi dispiace per la poca scelta al di fuori di questo os ma per me se spendo 400-600 euro supporto fino a fine vita utile la devo avere, a costo di pagarne 100 in più

Magari sarebbe piu' opportuno "mai piu' Samsung".

Onestamente non capisco perche' si continua a dare addosso ad Android, quando il problema sono gli OEM fancazzisti.

[insane74]

Quote:

Originariamente inviato da pabloski

Magari sarebbe piu' opportuno "mai piu' Samsung".

Onestamente non capisco perche' si continua a dare addosso ad Android, quando il problema sono gli OEM fancazzisti.

perché il 99% dell'installato Android sono degli OEM e non i Nexus/Cyano/ROM simili?

quindi "la colpa" è sempre di Android (per come è stato progettato, per come Google gestisce i rilasci, ecc ecc. discorso trito e ritrito).

PS: ho smarphone e tablet Sony, aggiornati a MM con firmware ufficiale (con patch 05/2016), e ovviamente i bug segnalati sono presenti e chissà quando (o meglio, se) verranno risolti con un aggiornamento ufficiale.

[Il Picchio]

Mai più Samsung in prima fila ma non solo.

Perche android è legato a doppio filo agli oem, io con 600 euro di telefono NON voglio stare a trastullarmi tra rom custom e non perche gli oem non fanno una minchia. Francamente pure i nexus hanno un supporto abbastanza ridicolo (20 mesi circa, nexus 5 non viene aggiornato ad android 7, e non ditemi che è lo snapdragon 800 a non reggerlo), nominatemi un oem che supporta i suoi terminali per 36+ mesi e ne riparleremo, con patch di sicurezza e aggiornamenti

[yeppala]

Quote:

Originariamente inviato da evil weasel

Le vulnerabilità sono già state patchate con il security bulletin

Nessun utente "consumer" ha ancora ricevuto quelle patch, quindi di fatto sono falle ancora aperte. E chissà per quanti mesi, se non anni, rimarranno ancora aperte...

[nickmot]

Quote:

Originariamente inviato da pabloski

Magari sarebbe piu' opportuno "mai piu' Samsung".

Onestamente non capisco perche' si continua a dare addosso ad Android, quando il problema sono gli OEM fancazzisti.

Per esperienza personale non mi pare che gli altri facciano di meglio.

E ti assicuro che l'ultima delle cose che mi interessa fare è difendere Samsung.

[OttoVon]

Avere l'atom ogni tanto ripaga.

[azi_muth]

Quote:

Originariamente inviato da pabloski

Magari sarebbe piu' opportuno "mai piu' Samsung".

Onestamente non capisco perche' si continua a dare addosso ad Android, quando il problema sono gli OEM fancazzisti.

Google ha in parte aggirato il problema tramite i play services, ma potrebbe e dovrebbe fare di più: così come fa accordi restrittivi e vincolanti sulle gapps potrebbe benissimo chiedere che vengano applicati ALMENO i bugfixes.
E' ovviamente solo una supposizione ma probabimente questo non avviene per andare incontro alle esigenze dei produttori relative all'obsolescenza programmata e alle personalizzazioni.
In fondo gli oem che accettando android si ritrovano l'hw ridotto ad una commodity con margini risicatissimi... e molti sono in perdita se poi incominciassero a dover fornire anche aggiornamenti che allungano la vita del dispositivo a più di 18 mesi per loro sarebbe anche peggio.Allungare la vita di un dispositivo va contro l'interesse del produttore: visto deve spendere soldi nel supporto del SO e deve vendere il modello successivo "migliorato".
Il loro impegno è fornire aggiornamenti il "tanto che basta", ma questa è una dimensione che viene stabilita dal mercato ovvero dai consumatori la cui attenzione per la sicurezza è ben nota...ci sono aziende che anche in campo android mantengono aggiornamenti per un periodo lungo tipo sony che recentemente sta aggiornando lo Z2 (02/2014) 30 mesi dall'uscita ma poi non ricompensata delle vendite...

[beppe90]

strano vedere i black phone in questa speciale lista, e anche gli s7, ma non erano chip exinos?

[alexfri]

Quote:

Originariamente inviato da Il Picchio

Mai più Samsung in prima fila ma non solo.

Perche android è legato a doppio filo agli oem, io con 600 euro di telefono NON voglio stare a trastullarmi tra rom custom e non perche gli oem non fanno una minchia. Francamente pure i nexus hanno un supporto abbastanza ridicolo (20 mesi circa, nexus 5 non viene aggiornato ad android 7, e non ditemi che è lo snapdragon 800 a non reggerlo), nominatemi un oem che supporta i suoi terminali per 36+ mesi e ne riparleremo, con patch di sicurezza e aggiornamenti

Cavolo non sapevo che il nexus 5 non fosse più supportato! Questa estate i miei mi hanno chiesto un telefono più evoluto dei loro vetusti nokia '90 style. Ma sà che farò uno sforzo e prenderò un iPhone, potete dire quello che volete ma il mio 5s non solo é continuamente patchato, ma riceverà il prossimo ios10 e molto probabilmente anche il successivo ios11 ed é un tel da 2013 come il nexus 5. E non venitemi a dire che é fuori luogo come paragone perché stiamo sempre parlando di sicurezza del mondo smartphone. Capisco anche che la maggior parte di noi potrebbe aver già scelto un modello di tel (android) "furbo" e che possa essere in grado di risolvere questi problemi da solo, ma non é così che google deve fare senno fra parecchi anni verrà davvero atichettato come sistema realmente insicuro dal popolo.