Dziura w zabezpieczeniach Androida
- Dodano: 26 października 2008
- Wprowadził: dasm
- Komentarze: 21
Sprzedaż telefonu G1 z systemem Android od Google jeszcze na dobre się nie rozpoczęła, a już znaleziono w nim lukę bezpieczeństwa.
Charles A. Miller, były pracownik NSA poinformował Google o luce już tydzień temu. Teraz natomiast opublikował tę informację w Internecie, by uświadomić użytkowników o istniejącym niebezpieczeństwie.
W przeciwieństwie do innych smartfonów czy komputerów, Android wydziela specjalne przestrzenie na uruchamianie programów. Problem pojawia się jednak w przestrzeni „internetowej”, gdyż umożliwia ona wgranie programu z zewnątrz i przechwytywanie wciskanych klawiszy. Może to potencjalnie prowadzić do wykradania haseł i tożsamości.
Rich Cannings, inżynier bezpieczeństwa Google:
Chcieliśmy umieszczać każdą aplikację najpierw w piaskownicy (sandbox), ponieważ nie można im ufać.
Według jego słów, powyższy problem jest już naprawiony, obecnie Google współpracuje z T-Mobile i HTC nad wdrożeniem poprawki do telefonów już zakupionych.
Przedstawiciele Google uważają, że Miller złamał niepisaną umowę między firmami, a odkrywcami błędów, kiedy przedwcześnie ujawnił informację o błędzie. Miller natomiast tłumaczy się, że zachował dla siebie szczegóły błędu, ale poinformował konsumentów o samym fakcie braków w oprogramowaniu.
Więcej informacji: http://www.nytimes.com/2008/10/25/techno...ref=slogin
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
21 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Tłumaczenie Google. Jeżeli chcieliby zachęcić człowieka do niewyjawienia tych informacji, to niech podpiszą z nim umowę. W końcu odkrywca luki też coś musi mieć, a On tylko poinformował o jej istnieniu potencjalnych konsumentów.
Prawdziwemu specowi od bezpieczeństwa zależy na tym, żeby błędy były usunięte. Po ujawnieniu tej informacji teraz, kto stracił a kto zyskał ? Stracili nabywcy G1, bo są narażeni na lukę. Zyskał tylko ów spec, bo przyniesie mu to rozgłos. Gdyby poczekał kilka dni, wszyscy użytkownicy byliby już bezpieczni, więc nikt nie wspomniałby o luce i jego nazwisku. Publiczne ujawnianie informacji o błędach bezpieczeństwa, kiedy jeszcze są groźne, nikomu nie służy, oprócz "speca". Niesamowicie denerwują mnie ludzie którzy trąbią na prawo i lewo o takich błędach, nieważne w jakim oprogramowaniu, szkodząc tylko użytkownikom.
Z drugiej strony są ludzie którzy mówią o publicznie błędach w rok po powiadomieniu o nich producenta. Licząc że go zmotywują.
A co sądzisz o publicznym mówieniu o błędach zanim są groźne (tzn. przed powstaniem exploitów)? Szczególnie w FLOSS może to przyciągnąć uwagę ludzi chcących załatać błąd.
Rok to trochę za dużo, tydzień to trochę za mało – jeśli producent olewa błąd, to znaczy że nie zależy mu na jego poprawieniu. Ale tydzień to czasami za mało, żeby błąd poprawić i żeby większość uzytkowników była bezpieczna, dlatego uważam że trąbienie już po tygodniu to zły pomysł.
Błąd jest groźny, kiedy jest znany. Są setki błędów w Linuksie/Windowsie/Macu, nie są groźne, bo nikt o nich jeszcze nie wie. Kiedy ktoś się dowie, staną się groźne. Lista dyskusyjna na temat problemów bezpieczeństwa Linuksa jest zamknięta dla zwykłych użytkowników – jeśli nikt się o błędach nie dowie poza developerami, błąd nie będzie groźny i może zostać wyeliminowany, zanim stanie się zagrożeniem.
To tak jak w "Facetach w czerni". Ludzie nie wiedzą o kosmitach, bo agenci szybko się z nimi rozprawiają. Z błędami powinno być tak samo. Problem w tym, że programiści nie mają urządzeń do cofania pamięci, więc muszą działać szybko. Czasowe utajenie błędów to jedyne rozwiązanie.
Nieznany błąd nie jest niegroźny – może być znany przestępcy.b
Przestępca może znaleźć go sam, albo przeczytać o nim w internecie. Ilu przestępców dowiedziałoby się o tym błędzie, gdyby "spec" nie podał informacji publicznie ?
,,Przestępca'' to ktoś skazany prawomocnym wyrokiem. Zostawcie te pochodnie bo aż przykro czytać…
Ale osoba ktora np. zabila ale nikt jej nic nie udowodnil moze mowic na siebie przestepca. Tak samo tutaj mowi sie o przestepcy jako o osobie ktora wykorzysta luke do niecnych celow czy mu sie to udowodni czy nie.
a potem dochodzi do takich absurdów jak w przypadku iCal i Apple, że informacja o dziurze pojawia się po 4 miesiącach od odkrycia + wielka historia kontaktu z Apple. Fix oczywiście pojawia się kilka dni po opublikowaniu informacji o bugu.
moim zdaniem delikwent postąpił jak najbardziej słusznie, pod warunkiem, że w informacji wysłanej do Google napisał, że za tydzień poinformuje o luce świat.
> Publiczne ujawnianie informacji o błędach bezpieczeństwa,
> kiedy jeszcze są groźne, nikomu nie służy, oprócz “speca”.
Według mnie służy wszystkim. Publiczne ujawnienie błędu bezpośrednio mobilizuje do jego szybkiego naprawienia oraz pośrednio do zwiększenia jakości powstającego nowego kodu.
> Niesamowicie denerwują mnie ludzie którzy trąbią na prawo
> i lewo o takich błędach, nieważne w jakim oprogramowaniu,
> szkodząc tylko użytkownikom.
Proszę się nie denerwować, to szkodzi zdrowiu
. Ci ludzie tylko ujawniają błędy, żeby zmobilizować do ich szybszego usunięcia. Chyba zdecydowanie gorzej byłoby, jakby błąd był używany przez różnych włamywaczy a firma miałaby gdzieś koszty związane z jego naprawą, bo klienci o nim nie wiedzą. Firmy zwyczajnie nie wydają swoich pieniędzy, jeśli nie są do tego przymuszone.
Luki w bezpieczeństwie mogą być znalezione także przez inne osoby, które mogą chcieć je wykorzystać do nielegalnych celów. Informowanie użytkowników ma na celu także zwrócenie ich uwagi na problem, tak aby mogli oni zabezpieczyć się we własnym zakresie (np. poprzez unikanie korzystania z wadliwej części oprogramowania) do czasu opublikowania oficjalnej poprawki.
Nie cierpię korporacji :
OK, firmy działają zrzucając swoją winę (błędy w skomplikowanym kodzie są dość powszechne i w 100% nieuniknione) na kogoś innego ("Przedstawiciele Google uważają, że Miller złamał niepisaną umowę między firmami"), ale to dzięki firmom mamy większość interesujących nas produktów. Można nie cierpieć korporacji, ale wtedy (bez hipokryzji) powinno się zamieszkać w lesie (bo miasta mają "korporacyjną" energię elektryczną) i nie używać żadnej techniki, która została rozwinięta właśnie dzięki tym korporacjom.
firma nie znaczy korporacja
Przeczytaj całą moją wypowiedź i powiedz co twoje spostrzeżenie daje. Przecież nie powiedziałem, że ten człowiek ma rację. Stwierdziłem, że nie sprzeciwiam się jego niechęci. I wyjaśniłem, że wiele nowinek powstało dzięki dużym firmom. Z tego powodu jestem za dużymi firmami, korporacjami, lecz wiem, że dla nich pracownik jest po prostu narzędziem.
A skoro wspominasz to wyjaśniam, że definicja z Wikipedii jest bardzo rozległa: "A corporation is a type of legal entity, often formed to conduct business", a Google jest firmą.
Tydzień przed premierą nowego produktu nikt nie ma czasu na takie rzeczy. Każdemu 'wielkiemu mastahaka' wydaje się, że wykryty przez niego błąd jest najważniejszy i musi być załatany w pierwszej kolejności.
W każdej firmie obowiązują określone procedury i google nie jest wyjątkiem.
A tak swoją drogą co mieli zrobić? Odebrać wszystkie G1 ze sklepów i załatać je przed premierą? Jesteś pewien, że google nie znalazło przypadkiem innych błędów i nie przygotowuje poprawki zbiorczej?
Tydzień to za mało, żeby przetestować każdy model z każdą możliwą wersją oprogramowania. Nie wspomnę już o tym, że gdyby google wypuściło poprawki wcześniej, to szum byłby jeszcze większy: wypuścili poprawki przed premierą, czyli na rynek trafił wybrakowany towar.
Oprogramowanie bez wad nie istnieje.
Właśnie. Słyszałem również coś w stylu:
Sytuacja jest taka, że błędy były, są i będą – będzie można tylko przesuwać ich miejsce.
Co do tej sytuacji to nie jest tak źle – znalazca najpierw powiadomił firmę, potem dopiero upublicznił informację. Wolę ponosić konsekwencję publicznych błędów oprogramowania (i sprzętu) niż nie wiedzieć o ich istnieniu.
Zapewne ważną częścią motywacji w szukaniu błędów w oprogramowaniu jest szansa na rozgłos – no i niech tak zostanie. Gorzej, gdyby motywacją przeważającą stała się możliwość czynienia zła, poprzez znane tylko sobie problemy w programach.
Łukasz
Samo podejście było słuszne, chodziło mi o to że dał im za mało czasu na reakcje.
Trzeba przyznać, że mu się udało, nigdy wcześniej o tym człowieku nie słyszałem
G. się brzydko tłumaczy. Dostali tydzień i jeszcze jęczą. Są tacy specjaliści (brak mi słowa na ,,reasercher'') którzy nie daliby im nawet minuty.
Badacze.
Według niektórych pewnie lepiej by było gdyby siedział cicho a o błędzie wiedziałoby tylko Google i garstka ludzi, którzy ten błąd odkryli w celu popełniania przestępstw.