Jump to content
***Leeloo***

Уязвимости в Android

Recommended Posts

Всем известно или не всем,что любая уязвимость в Системе,решается с помощью обновления программного обеспечения. Например на Android -это прошивка или полное обновление ПО.Уязвимости характерные для этой Системы существуют:

1. Fake ID

2.Master Key

3. Heartbleed

Первая "брешь" для уязвимостей Fake ID устраняется с помощью обновления до последней версии Android и прошивки.Тут всё понятно.

Вторая "брешь" для уязвимостей Master Key Компания Google знала об этой дыре в системе безопасности Android, и уже исправила эту ошибку. Тем не менее, миллионы планшетов и смартфонов будут подвержены опасности до тех пор, пока их производители не выпустят обновления операционной системы с заплаткой.Кстати у кого стоит КИС на Android то поводов для беспокойств-нет,он следит за программами,которые могут использовать эту Уязвимость.

Но меня интересует третья так называемая "дыра" Heartbleed (см.Скрин)по моему мнению наиболее опасная.Даже после обновления всего ПО Android эта "дыра"уязвимостей,не исчезнет и будет представлять опасность.Суть трудности в том, что Google давно выпустила нужные исправления, но применить их к каждой конкретной модели смартфона или планшета должен производитель этой модели или сотовый оператор, ее распространяющий. А потом каждый владелец модели должен это обновление установить. Увы, это часто случается с большой задержкой, а то и никогда не происходит, поэтому счет уязвимых устройств идет на миллионы - как пишет блог Касперского.Хочу добавить ещё то что по рекомендации того же Касперского обратиться на сайт Производителя устройства для устранения этой "дыры" http://blog.kaspersky.ru/fakeid-scanner/4919/ ,но там просто отфуболивают,говоря что они не имеют дело со сторонним Софтом т.е Касперским и его рекомендациями и обращайтесь к ним.Вот и получается "не там - не сям",а Ведь у этой дыры есть и другая сторона-это уязвимости клиента.Клиентские приложения уязвимые к угрозе Heatbleed,как и в случае с серверными приложениями, уязвимость клиентов определяется версией OpenSSL.Думаете, очередной случай из серии "ждите исправлений"? Похоже, эта клиентская уязвимость проживёт гораздо дольше всех серверных…Имеем неприятное сочетание уязвимости Heartbleed со спецификой встраиваемых (embedded) устройств, которые могут не обновляться вообще никогда. Либо они обновляются в течение пары лет после выпуска, а по выходу новой модели производитель просто бросает их на произвол судьбы.Весьма солидным дополнением к теме, являются устройства Android, которые оператор связи продаёт и обслуживает в обход производителя кода (Google): у таких устройств обновления либо редки, либо их нет вовсе, но используются они широко (например смартфоны от МТС или другого оператора).Первое, что обычно приходит в голову, это, конечно, банковские онлайн-приложения.Кстати мы уже имеем случай с подобным проявлением данной "бреши" http://forum.kaspersky.com/index.php?showtopic=302827 Ведь Касперский не спасает нас от этой "дыры",а только сигнализирует об опасности.В итоге имеем сочетание товара широкого потребления и уязвимости, которая открывает его память почти любому вредоносному (или взломанному) серверу. Это потенциал оружия массового поражения, с долгим жизненным циклом устройства. Лично моё мнение таково, что в течение нескольких недель или месяцев силы зла будут собирать жирные пенки, сливки и тому подобную сметану с платёжных систем и банковских сервисов, и только после этого переключаться на наш с вами бытовой уровень. Сначала пройдутся по всему, что у нас так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся по рукам, будут просто красть пароли от всего подряд. Хуже всего дела у умных некоторых моделей смартфонов от операторов связи, там обновлений можно ждать годами и не дождаться никогда.Если раньше я понимала, что к примеру смартфоном моей подруги может воспользоваться только АНБ, то теперь это может быть любой проходимец средней руки. Уже не так смешно, правда?

post-519327-1409765644_thumb.png

Edited by ***Leeloo***

Share this post


Link to post

Опасность heartbleed на android, на мой взгляд, преувеличена. Уязвимость присутствует только в версии 4.1.1 [источник]. Также большинство уязвимых приложений уже обновились.

Кстати мы уже имеем случай с подобным проявлением данной "бреши" http://forum.kaspersky.com/index.php?showtopic=302827

При чем тут heartbleed?

 

Остальные дыры чуть более опасные, но уже пофикшены соответствующими патчами для xposed framework.

Самым большим промахом, на мой взгляд, является отсутствие возможности управления правами приложений. Хотя и это частично лечится с помощью xprivacy

Другой проблемой является фактическое отсутствие обновлений безопасности. Они, конечно, есть для очень небольшой части устройств, но это ничего не решит в случае.

Хотелось бы услышать мнение специалистов из ЛК по этому вопросу

Share this post


Link to post
Опасность heartbleed на android, на мой взгляд, преувеличена. Уязвимость присутствует только в версии 4.1.1 [источник]. Также большинство уязвимых приложений уже обновились.

 

При чем тут heartbleed?

 

Остальные дыры чуть более опасные, но уже пофикшены соответствующими патчами для xposed framework.

Самым большим промахом, на мой взгляд, является отсутствие возможности управления правами приложений. Хотя и это частично лечится с помощью xprivacy

Другой проблемой является фактическое отсутствие обновлений безопасности. Они, конечно, есть для очень небольшой части устройств, но это ничего не решит в случае.

Хотелось бы услышать мнение специалистов из ЛК по этому вопросу

К вашему сведению данная брешь heartbleed есть и версии 4.4.2 Аndroid - при этом Аndroid полностью обновлён до последней версии в Samsung.Так что ваш источник старой информацией располагает и она уже не актуальна.

Что касается xposed framework - то его ещё нужно установить,а ведь об этом мало кто знает-также как и об этом в том числе https://play.google.com/store/apps/details?...asterkeydualfix а если брать ещё расход траффика на обновление ПО(исключение WI-FI) то об этом мало кто интересуется.Почему опасна heartbleed? да потому что её не исправить(уже писала по этому поводу отфутболивания) и можно ожидать что угодно,хочу заметить ни один Антивирус не даёт 100% Защиты и здесь всё зависит от Разработчиков Устройства,которые время от времени ставят "заплатки" для своего ПО

Edited by ***Leeloo***

Share this post


Link to post
На днях обновился до Android 4.4.4

Эта "дыра" -уязвимости Heartbleed имеет две стороны и она будет всегда присутствовать независимо от вашего желания.Другое дело,как можно защитится от такой "напасти".Меня больше волнует другая более опасная сторона этой "дыры" к примеру:Банковские сайты(интернет-бакинг).Так как,приходиться часто пользоваться услугами Банка в мобильном устройстве.Ну во-первых

Что такое Heartbleed - это уязвимость в безопасности программной библиотеки OpenSSL (открытой реализации протокола шифрования SSL/TLS), которая позволяла хакерам получить доступ к содержимому оперативной памяти серверов, в которых в этот момент могли содержаться приватные данные пользователей различных веб-сервисов.Уязвимость также позволяла злоумышленникам получить цифровые ключи, использующиеся, например, для шифрования переписки и внутренних документов.

Во-вторых,проверка происходит по сертификатам,например в КИС для Windows-это проверяет функция Безопасные Платежи в то время,как для Android такая функция отсутствует и этим заведует Веб-фильтр по базе KSN и эвристике-есть разница?Нашла ресурс который проверяет безопасность сертификата того или иного сайта на предмет уязвимости Heartbleed К примеру взять соц.сеть "В Контакте" или сайт Сбербанка (см.Скриншоты) где видно в каком состоянии находиться сертификат и соответственно возможность взлома вашего Аккаунта

6101447m.png

6142416m.png

Также можно посмотреть список популярных сайтов подверженной этой уязвимости http://mashable.com/2014/04/09/heartbleed-...sites-affected/

Всё равно КИС для Android в этом плане Защиты - слабее,чем КИС для Windows.

Интересно хотелось бы узнать мнение сотрудников ЛК по этому поводу.

Edited by ***Leeloo***

Share this post


Link to post

...два дня назад,новый смартфон Smart2/от Билайн,пока стояли предустановленные настройки при покупе-работало нормально...

Выскочила заставка обновить Gogle Crome,-обновил...

1)*Далее при наборе справочная служба Билайн,так и обычный номер-происходила блокировка экрана/-экран блокировало/темный-

-удержание линии звонимому абоненту,далее-:темный экран управление сервисными кнопками-не реагировало...

Лекарство,-частое нажатие кнопки выключения питания,в доли секунды мигал экран,нужно было помучится,чтобы отключить звонок,

После отключения от линии-экран засветился...

Пробовал 6-8 раз-каждый раз каждый раз смотрим выше 1)* блокировка экрана ит.д./

После того как помучавшись отключился-сделал сброс/откат Системы(Андроид) на заводские настройки-стало работать нормально...

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.