Groźna luka w Androidzie - Google już pracuje nad łatką

Czyli generalnie w dużym skrócie, luka bezpieczeństwa polega na tym, że człowiek musi się połączyć z niezabezpieczonym (ergo nieszyfrowanym) wifi i wysłać przez nie coś, co w założeniu jest poufne.

Standardowo więc - problem leży między oparciem i monitorem, choć tu lepiej byłoby powiedzieć, problemem jest ten, kto trzyma smartphone. Jeśli ktoś loguje się do swoich tajemnic służbowych z niezabezpieczonego wifi, aż się sam prosi o problemy...

to w końcu 2.3.4 jest podatny czy nie? bo z tekstu wynika że tak, a potem że nie

Faktycznie, do tekstu wkradła się literówka. Dzięki za czujność - błąd wyeliminowany.

Android - dziurawe to, masakra...

Tjaaaa... I dlatego należy trzymać POUFNE dane w chmurze obliczeniowej jednej z największych firm szpiujących (czyt. google). n.c.

@MSFT :)

Windows - dziurawe to, masakra...

Zadziwiająca jest Twoja wrażliwość na nieliczne problemy bezpieczeństwa innych systemów i kompletne niezauważanie licznych problemów w wynalazkach Microsoftu.

@wolf94 i vice versa (odnośnie twoich cienkich przycinek do M$)

@wolf94

Jak to się nazywało? Hipokryzja?

@ wolf94

Moim zdaniem kolega MSFT :) nie ma problemów z innymi systemami. To raczej czysty brak wiedzy.

@MSFT Morda sCoBy GXT PRO, starsi koledzy kończą pisać matury- wolne macie w szkole???

@MSFT :) - ciekawe, dlaczego tak reagujesz na luki w innych systemach, a na luki w Windows to w ogole nie reagujesz?

Nie karmcie trolla, MSFT :) to kolejne, po slit-jolci wcielenie scOOby czy jakos tak...

@miisoo, wolf94, pilarek .........
Nie dokarmiajcie, nie ma potrzeby, jeszcze spuchnie i pęknie, i będzie śmierdziało a tego nie chcemy, nie?

A z drugiej strony wszyscy się śmieją z iOS, który rzekomo szpieguje i w ogóle jest be, a tu taki numer... i to prawdopodobnie na 95% telefonów nie zostanie nigdy załatane.

Niestety producenci telefonów (poza HTC) mają użytkowników Androida w dupie i nie opublikują poprawek, nowej wersji, nic.

A tak na poważnie... Kto się łączy z niezabezpieczoną siecią WiFi?
Kamikaze?

"Niestety producenci telefonów (poza HTC) mają użytkowników Androida w dupie i nie opublikują poprawek, nowej wersji, nic."
Niestety to prawda :( Przykładem jest np Plus, do tej pory nie mogę się doczekać V20E na GT540 (wydali dopiero V20B !) :/

@dobryteddy
Plus produkuje telefony z Androidem. A to ciekawostka. Zapewne chodziło Ci że masz brandowany telefon operatora sieci PLUS. Niestety ludzie nieraz kupują nie wiedząc co a później się dziwią że nie mają możliwości legalnie aktualizować softu bo ich kochany operator nie wypuszcza takowych.

ojojoj a tak się wszyscy śmieją z dziur w sofcie apple. Nie ładnie tak nie ładnie, bo wszystko bez wyjątków ma dziury.

Swoją drogą ciekawe ile osób siedzi właśnie w Polsce na niezabezpieczonej sieci WIFI i czeka na jakiegoś Adroida... czyżby zero?

@Plagueis problem to nie użytkownik tylko dziurawy system
@sunbeam96 mnóstwo ludzi się łączy z niezabezpieczonymi sieciami często jak bywam w barach M to to przeglądam sobie strony przez telefon z androidem
i nic nie poradzę na to e Google źle zabezpieczył system i mimo że nigdzie się nie loguje to Android co chwile wysyła coś do Google i może ktoś to przechwycić

"Wszystko odbywa się za pomocą tokena, który jest generowany na pewien okres czasu."
Nie ma czegoś takiego jak "okres czasu", albo okresu albo czasu.

To ja mam pytanie jeśli chodzi o te niebezpieczne wifi -
czy korzystając z takiej grozi mi tylko to że ktoś przechwyci jakie strony przeglądam czy jest też możliwość ze ktoś mi podrzuci jakiegoś trojana? (np. pobieram pdfa z zaufanej strony a dostaje trojana)

Po pierwsze - trochę wstyd, że DP dziś dopiero publikują informację o tej luce...od wczoraj od rana ta wiadomość znajdowała się na coraz większej ilości portali zagranicznych i polskich.
Po drugie - pominięto bardzo istotną rzecz w artykule czyli sprawę tych tokenów...nie chodzi o łatwość ich przejęcia, bo przesyłane są czasem przez niezabezpieczone sieci, ale o to, że przesyłane są w postaci zwykłego tekstu i że token taki nie jest specyficzny czyli token z jednego urządzenia może być użyty dla innego urządzenia
Po trzecie - wniosek z tego taki, że nie jest winą użytkownika "puszczenie" swojego tokena w obieg, ale jest to wina zastosowanej technologii
Po czwarte - kiedy zaatakowano Sony (jak się okazuje już trzeci raz wczoraj) i okazało się, że podobnie stosowali zwykły tekst do przesyłu danych użytkownika, wieszano na nich psy i wytykano im poważny błąd...tu jakoś zdania są inne i jestem ciekaw dlaczego?

To sobie muszę zaktualizować swifta do 2.3.4, kiedyś, jak się mi będzie chciało :P

Ciekawe czy całość działa także z sieciami zabezpieczonymi WPA2 jeżeli intruz jest w ramach sieci?

Jest sporo sytuacji w której kilka osób współdzieli jedną sieć WIFI. Wspólne wynajmowanie mieszkania, lokalna sieć w pracy itp. Jest sporo przykładów w których jesteśmy podłączeni do zaufanej sieci WIFI i nie jesteśmy jedynymi jej użytkownikami.

Ciekawe kiedy pojawi się zaktualizowany FireSheep który umożliwi wykradanie haseł z telefonów z Androidem w ramach sieci WIFI.

A co z połączeniami przez HSDPA?

Reperować mnie to tam :> nieraz za granicą na lotniusku jedynym ratunkiem jest niezabezpieczona sieć WIFI dostępna na lotnisku :/ lepiej niech palą kapcie i naprawiają bo nie zawsze da się połączyć inaczej :/

@ #14
Wiem, że plus nie produkuje fonów z andkiem ;] , ale skoro kupuje u nich taki telefon to chyba mogli by się postarać o jakieś updaty a nie zostawiać klienta z ręką w nocniku na starym sofcie - to tylko świadczy o firmie.

Przykre jest to, ze jakby informacja ta tyczyla sie microsoftu czy apple to zaraz by rozgorzala nagonka jakie to sa paskudne firmy a ich produkty dziurawe. W przypadku androida jest cisza, dlaczego? Jezeli wezmie sie pod uwage ilosc powanych luk to przoduje w nich android, skad bierze ten fenomen chwalenia czegos co praktycznie co tydzien ma na forach wpisy dotyczace kolejnej dziury. Co w tym wszystkim najlepsze to to, ze oczywiscie google wydaje po jakims czasie poprawki albo i nie, ale.... Operatorzy i producenci ich nie udostepniaja, a przecietny uzytkownik takich sluchawek nie ma pojecia jak dokonac aktualizacji wiec nagle okazuje sie, ze praktycznie wszystkie komorki z androidem staja sie jednorazowkami, ktorych uzywanie w najlepszym przypadku pozwoli nam gdzies zadzwonic a w najgorszym narazi na powazne straty conajmniej finansowe. I dlatego wlasnie patrzac na to, kto uzywa i jakich komorek bardzo latwo widac, ze nie ilosc instalacji systemu ale jakosc wiedzie prym. To rim, apple czy ms sa wielkimi wygranymi, natomiast android to taka zabawka dla dlubaczy. Dzialac dziala, ale co wiecej? dlatego bardzo bym prosil o nieopluwanie w przyszlosci konkurencji a powazne zastanowienie sie i wyciagniecie odpowiednich wnioskow z tego newsa na przyszlosc :)

@dobryteddy
Żaden znany mi operator nie oferuje szybkich update'ów. Dla niego ważny jest tylko klient w momencie zawierania umowy. Później ma go gdzieś :)

Naukowcy czy informatycy?
Nie mylmy pojęć.

@ulth
Ich nazwiska są wymienione w artykule opublikowanym przez "Institute of Media Informatics", a poza tym można na ich wizytówkach znaleźć "Dipl.-Inf." więc pewnie są i jednym i drugim. A zresztą jakie to ma znaczenie? :)

Problem został już załatany z poziomu serwera, nie będzie żadnych aktualizacji dla systemu....

@andykUra

ms wygranym? Czy już zapomniałeś o najnowszej luce z Unicode? Newsy z lukami o Androidzie dobrze się "sprzedają" bo jest to w tej chwili najpopularniejszy system i żaden system M$ mu nie zagrozi, niech M$ najpierw pochwali się ile sprzedał telefonów ze swoim systemem to pogadamy. Głośno o lukach w WP7 nie jest bo po prostu nikt nie jest wogóle zainterespwany tym systemem i jeszcze przez jakiś czas tak będzie.

Luka jak widać, dotyczy pazerniaków, których stać na telefon, a nie stać na dataplan.

Sprawdza się polskie przysłowie: chytry dwa razy traci.

W tu Google pokazuje swoją wielkość przez błyskawiczną reakcję. Firma się natychmiastowo sprężyła i błąd zostanie całkowicie wyeliminowany raptem wciągu kilku dni. I robią to w doskonały sposób czyli od swojej strony - łatkę dostanie 100% użytkowników Androida NATYCHMIAST!

Już widzę jakby to było w przypadku M$. Za pół roku monopolista by oficjalnie potwierdził że rzeczywiście przyznają i luka faktycznie istnieje. Ale z racji że niebawem wydadzą nową wersję swojego systemu (płatną ponownie!) to przytoczyliby publicznie że luka dotyczy tylko obecnej wersji systemu przy okazji podając statystki ogromnej liczby włamań za jej pomocą... i sugerując kupno nowszej wersji systemu gdzie błąd nie występuje.

* I tu Google...

a ja się cieszę-w końcu to system dla nisz-nic nie ma za darmo,więc jak chińczycy weszli do gry w zakupy fonów z androidem to nie ma co się dziwić.Większość jarzy michy,bo android to ma: za free to ma otwarte itp.itd.....aż do mementu gdy ktoś z już się nacieszył i z nudów zabiera się do psucia tego systemu.Dodatkowo twierdzenie przez Google,że ich system jest nie do złamania napędza hackerską machinę udowodnienia :) - TAK TRZYMAĆ

@czerw

Nie wiem czy Google kiedykolwiek tak twierdził, możesz podać jakieś źródła? Co do otwartości to przynajmniej masz taką możliwość, pokaż mi inne systemy gdzie masz taką możliwość zmodyfikowania wszystkiego według własnego widzi mi się?

Coś stare wiadomości macie, bo łatka już od wczoraj jest dostępna i będzie 'wrzucana' na telefony automatycznie, niezależnie od użytkownika (ale naprawia tylko lukę w Kontaktach i Kalendarzu, na poprawkę np. Picasa trzeba poczekać).
I tak, KAŻDY telefon ją dostanie, niezależnie od operatora czy producenta.

@Torwald

"Because the update will be on Google's servers, there will be no software update needed for the phones themselves."

Przepraszam zapomniałem podać że to cytat z Neowin...

Cały ten news nie trzyma się kupy. Pierwsze zdanie mówi o rzekomej luce w samym systemie a po przeczytaniu całości można wysnuć całkiem odmienne wnioski. To nie jest kwestia "dziurawego systemu" a raczej źle przemyślanej usługi, konkretnie sposobu uwierzytelnienia. Ta sama usługa działająca w taki sposób na iOS albo WP7 miałaby ten sam efekt. Najlepszym dowodem na to jest fakt, że system nie będzie łatany tylko Google rozwiąże to po swojej stronie więc nie trzeba się martwić o to, że producent czy sieć nie wypuści poprawki do systemu. Trochę dziwna jest natomiast rzekoma niepodatność Androida 2.3.4. Jedyny sposób jaki sobie wyobrażam to odmowa synchronizacji przez niezabezpieczoną sieć w ogóle co jest jednoznaczne z nie korzystaniem w danym momencie z usługi. Ale czy odcięcie się od usługi można nazwać "niepodatnością" na przeprowadzony poprzez nią atak?

@androidUser (niezalogowany)

"To ja mam pytanie jeśli chodzi o te niebezpieczne wifi -
czy korzystając z takiej grozi mi tylko to że ktoś przechwyci jakie strony przeglądam czy jest też możliwość ze ktoś mi podrzuci jakiegoś trojana? (np. pobieram pdfa z zaufanej strony a dostaje trojana)

Z tego co ja wywnioskowałem z tej chaotycznej i rwanej opowieści to na oba pytania można odpowiedzieć "NIE". Chyba że:

1. W magiczny sposób przeglądasz strony internetowe poprzez na przykład usługę kalendarza w chmurze Google.

2. Wszystkie usługi Google są fizycznie w twoim telefonie (a internet na dyskietce).

Raczej ciężko będzie podrzucić tego trojana skoro dostępu do urządzenia nie ma. Ktoś może ci ewentualnie przeczytać/zmienić wpisy w kalendarzu i inne rzeczy które synchronizujesz. Tak jak by się zalogował na twoje konto Google.


Popraw mnie ktoś jeśli źle zrozumiałem bo skoro autor wpisu twierdzi, że "Androida można w prosty sposób zhakować" wyżej wymienionym sposobem to już niczego nie jestem pewien.

Ten news wygląda jak efekt końcowy zabawy w głuchy telefon. Masa nieścisłości i sprzeczności. Bardzo uprzejmie proszę redakcję o rozwinięcie i uściślenie bo jak widać po komentarzach interpretacji jest masa.

Oczywiście starsze modele telefonów, dla których najnowsza wersja Androida jaka się ukazała to np. 2.1, nie mają co liczyć na aktualizację, gdyż wsparcie wygasło. W takim razie pozostaje albo kupić telefon z nowym systemem z czym wiąże się dodatkowy wydatek pieniężny, albo nie łączyć się siecią, albo napisać/poprawić kod źródłowy systemu na własną rękę co potrafią tylko nieliczni. Jak by nie było wielu ludzi będzie nadal narażonych na to zagrożenie.

newsy z dnia 18 maja
http://android.com.pl/news/platforma/2198-nie-taki-bezpieczny-android.html

http://android.com.pl/news/platforma/2203-android-wstpnie-zaatany.html

cos tutaj na dp opuznienie sie wkradlo

@Bartek2 (niezalogowany) | 19.05.2011 14:06

Naucz się czytać ze zrozumieniem! Google załatwia problem od swojej strony, czyli od strony serwerów, a to oznacza że każdy użytkownik Androida nie musi kompletnie nic robić!

Aktualizacja wszystkich serwerów Google potrwa kilka dni, a problem zostanie wyeliminowany na 100% urządzeń z Androidem (niezależnie od ich wersji !).

@GalusAnonimus

Może nie tyle ze zrozumieniem co do końca, czego nie uczyniłem pomijając 2 ostatnie akapity... Cała poprzedzająca je treść newsa mówi o tym, że błąd występuje w systemie Android. Skoro jednak problem jest do rozwiązania po stronie serwera to bardzo dobrze.

Jedno wielkie dziadostwo. Dalej sprzedaje się telefony z wersją 1.5 - ale użytkowników ma się w d...e, aktualizacji podobno nie będzie. To kiedy ten szajs zostanie wycofany ze sklepów (bluetooth nie działa, sam wysyła po 30 - 40 sms-ów - podobno wada oprogramowania).
Całkowicie zmieniłem zdanie na temat Androida - PRECZ Z GOOGLE KTÓRE ZACZYNA OLEWAĆ KLIENTÓW!

GalusAnonimus | 19.05.2011 17:46 #44
@Bartek2 (niezalogowany) | 19.05.2011 14:06
Naucz się czytać ze zrozumieniem! Google załatwia problem od swojej strony, czyli od strony serwerów, a to oznacza że każdy użytkownik Androida nie musi kompletnie nic robić!
Aktualizacja wszystkich serwerów Google potrwa kilka dni, a problem zostanie wyeliminowany na 100% urządzeń z Androidem (niezależnie od ich wersji"

i to jest właśnie różnica-więc nadal wolę pozostać przy iphone nie martwiąc się o takie g....-proste i już fon Apple i soft Apple ułatwia życie,a nie komplikuje jak w/w przypadku

@ BenderBendingRodriguez | 19.05.2011 12:23 #38
@czerw
Nie wiem czy Google kiedykolwiek tak twierdził, możesz podać jakieś źródła? Co do otwartości to przynajmniej masz taką możliwość, pokaż mi inne systemy gdzie masz taką możliwość zmodyfikowania wszystkiego według własnego widzi mi się?

po co mi ta otwartość? mi wystarczy to co mam i wykorzystuję w i tak duzym stopniu-nie interesują mnie aż tak poważne problemy-wystarczy mi iphone i to co on mi daje-reszta mnie nie interesuje jak równiez większość ludzi którzy duzo krzyczą,a nawet nie wiedzą co tzn. otwartość.

@darek_d
Google nie jest temu winien tylko zakończenie wsparcia dla danego modelu telefonu przez producenta i opieszałość operatorów w udostępnianiu aktualizacji. Gdyby tak aktualizacje systemu we wszystkich telefonach pochodziły bezpośrednio od Google to wszyscy mieliby dostęp do najaktualniejszych wersji.

@MSFT :): Windows przez ten czas zdążył mieć więcej dziur więc się nie jaraj na lukę w Androidze ;>

Przecież wiadomo,że android to dla nisz,a nie normalnych ludzi

@BenderBendingRodriguez


ps. sorki nie odopowiedzialem wczesniej na 1-sze twoje pytanie cyt."Nie wiem czy Google kiedykolwiek tak twierdził, możesz podać jakieś źródła?"

moja odpowiedź jest prosta-poszukaj w googlach :D

@czerw (niezalogowany)
"Przecież wiadomo,że android to dla nisz,a nie normalnych ludzi"

Od kiedy nisza stanowi duży procent rynku??

@wujcio |

Od kiedy nisza stanowi duży procent rynku??

od tego ilu i kogo stać a w szczególności w chinach gdzie stac biedniejszych na zakup fonów :P

@Zły Miś
Odkryta luka w systemie Android dotyczy jego składników, takich jak kalendarz i kontakty. Składniki te do łączenia się z serwerem Google wykorzystują protokół HTTP, przez co gdy korzystamy z niezabezpieczonej Sieci WiFi, atakujący może zdobyć nasz token i podszywać się pod nas w Sieci.
W Androidzie 2.3.4 zdecydowano się na zmodyfikowanie sposobu w jaki składniki systemu komunikują się z serwerem. Kalendarz i Kontakty łączą się z chmurą obliczeniową poprzez protokół HTTPS i są odporne na opisany atak. Jednak problem występuje z aplikacją Gallery stworzoną przez Cooliris, która wykorzystuje dalej protokół HTTP. Po szczegóły odsyłam do linkowanego źródła.

Amerykanie też są biedni skoro 30% z nich korzysta z Androida?
http://gs.statcounter.com/#mobile_os-US-monthly-201004-201104

@czerw (niezalogowany)
Chyba mylisz znaczenie słowa nisza - jak dla mnie to jest rozwiązanie które posiada większość w swoim specyficznym segmencie rynku. I takim przykładem będzie Linux na konsoli PS3 - posiada znaczący udział ponieważ konkurencja tam chyba nie ma możliwości rywalizacji (oczywiście już bez hacka nie zainstaluje się Linuksa ale wcześniej było to realne). Albo asembler na mikrokontrolerach bardzo ubogich w porty i zasoby. I na tym drugim przykładzie chodzi o to że niby udział asemblera w językach programowania jest niski to jednak w pewnym segmencie rynku może być niezastąpiony.

@wujcio

da se na luzz z tym linuxem teraz,bo zaraz nowy temat będzie ze niby pierwszym w ogóle systemem to linux będzie.

@wujcio: Niestety w definicji słowa "nisza" nie ma słowa "mała" lub jego synonimu. Często mówi się o niszach jak o czymś małym - niewielki segmenty rynku, mała wnęka - ale w rzeczywistości słowo to nie niesie ze sobą informacji o rozmiarze. Możemy zatem mówić np. o niszowym rynku systemów operacyjnych, zdominowanym przez Microsoft. :)

@czerw
Sam "da se na luzz" ponieważ dałem dwa przykłady i skoncentrowałem się na tym drugim nie związanym z Linuksem. Widzę że masz jakąś fobie związaną z Linuksem nawet jeśli ten kto o nim wspomniał nigdy na głównym komputerze go nie instalował i korzystał z niego bardzo nie wiele.

@Ryan
Z tym mogę się zgodzić bo brzmi to sensownie.