OpenForum RSS: Критическая уязвимость в Android, позволяющая получить контр... https://slinkov.ru/openforum/vsluhforumID3/103904.html Специализирующаяся на компьютерной безопасности компания Zimperium zLabs объявила (http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/) о выявлении критической уязвимости в коде обработки мультимедийных данных платформы Android, позволяющей организовать выполнение кода через отправку сообщений MMS или Google Hangout. По предварительной оценке проблеме подвержено около 95% имеющихся в обиходе Android-устройств, т.е. потенциальными жертвами уязвимости являются 950 млн пользователей. Касающиеся уязвимости детали планируется объявить на конференциях Black Hat USA и DEF CON 23, которые пройдут 5 и 7 августа.<br><br><br>Проблема может быть эксплуатирована в момент начальной обработки сообщения без необходимости выполнения пользователем каких-либо действий. Для получения контроля над устройством достаточно знать номер мобильного телефона жертвы. В некоторых случаях атакующий может удалить эксплуатирующее уязвимость сообщение, при этом останется лишь уведомление о его получении. Причиной уязвимости яв Критическая уязвимость в Android, позволяющая получить контр... (st17) https://slinkov.ru/openforum/vsluhforumID3/103904.html#205 Thu, 08 Oct 2015 20:02:28 GMT Crazy Alex:<br>"Вообще-то как с этим бороться - известно уже лет сорок. Полный отказ от буферов фиксированного размера, обработка функциями, принимающими длину буфера, переаллокация при нужде... И библиотек, которые всё это делают - вагон, если руками лень.<br>В сущности, очень забавляет, что у BSD-шников, кичащихся своей безопасностью, ошибки такие детские."<br>5.10.2015: http://www.opennet.ru/opennews/art.shtml?num=43090#4<br><br> Критическая уязвимость в Android, позволяющая получить контр... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/103904.html#204 Wed, 16 Sep 2015 15:28:42 GMT Похоже уже начали ломать.<br>После сообщения об уязвимости я выключил автоматический приём MMS.<br>Сегодня пришло уведомление о приходе MMS c "Неизвестный адрес". Вложение 37 кБ.<br>Загружать не стал. Удалил.<br>В Мегафон UMS никаких MMS не обнаружил. Но возможно там система не отображает сообщения без номера.<br> Критическая уязвимость в Android, позволяющая получить контр... (Куяврег) https://slinkov.ru/openforum/vsluhforumID3/103904.html#203 Fri, 21 Aug 2015 13:33:07 GMT &gt; Нормальный человек меняет телефон тогда, когда ему это становится нужно.<br><br>Не. Вот этим нужно раз в 10 месяцев. подозреваю - флешка переполняется и сразу в магазин.<br><br><br> Критическая уязвимость в Android, позволяющая получить контр... (Kerman) https://slinkov.ru/openforum/vsluhforumID3/103904.html#202 Wed, 05 Aug 2015 08:55:06 GMT Java не сильно медленнее плюсов. Это уже давно устоявшееся заблуждение, повторяемое как Отче Наш плюсовиками. Создание коротко-живущих объектов (по типу буффера) - это очень дешёвая операция (порядка арифметических), их сборка происходит мгновенно, а скорости арифметики и виртуальных вызовов идентичны. Зато Java проигрывает плюсам в отсутствии <br>небезопасного поинтероблудия и выстрелов себе в ногу (unsafe не в счет).<br> Критическая уязвимость в Android, позволяющая получить контр... (zZz) https://slinkov.ru/openforum/vsluhforumID3/103904.html#201 Mon, 03 Aug 2015 22:29:36 GMT &gt; А планшеты тоже уязвимы?<br><br>Если на планшете установлен дроид выше 2.2 и есть GSM модуль, то да.<br> Критическая уязвимость в Android, позволяющая получить контр... (Ytch) https://slinkov.ru/openforum/vsluhforumID3/103904.html#200 Sat, 01 Aug 2015 22:35:35 GMT &gt; Условием было пользование онлайн банком, с мобилки.<br><br>Это в каком это месте было такое условие? Про онлайн-банк речь, как бы, вообще изначально не шла - я лишь сказал, что там можно отключить произвольное использование могильного банка сбера. Мне начали говорить, что вообще все пользователи онлайн-банка - ссзб. Вот и все условия, которые были.<br><br>&gt; Второй канал или вторая половинка канала аутентификации -терминологические тонкости, не о них речь<br><br>Фигасе тонкости... "Второй канал" подразумевает параллельно первому (то есть некий обход, альтернатива). "Вторая половинка" подразумевает последовательно с первой половинкой (то есть одно без другого не сработает). В корне разное поведение (в т. ч. и с точки зрения безопасности)<br> Критическая уязвимость в Android, позволяющая получить контр... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/103904.html#199 Sat, 01 Aug 2015 05:01:48 GMT А планшеты тоже уязвимы?<br> Критическая уязвимость в Android, позволяющая получить контр... (анином) https://slinkov.ru/openforum/vsluhforumID3/103904.html#198 Sat, 01 Aug 2015 03:46:04 GMT Условием было пользование онлайн банком, с мобилки. При таком раскладе, контроль над смартом даёт возможность перехватить логин, пароль. <br><br>Второй канал или вторая половинка канала аутентификации -терминологические тонкости, не о них речь<br> Критическая уязвимость в Android, позволяющая получить контр... (XoRe) https://slinkov.ru/openforum/vsluhforumID3/103904.html#197 Fri, 31 Jul 2015 14:10:02 GMT &gt; PS: ну можно и дальше заводить пластинку про золотой гугл и нехороших <br>&gt; вендоров, но только пользователю то от этого не легче <br><br>Просто у пользователей андройда есть выбор.<br>Можно взять такой телефон с андроидом, для которых будут обновления от вендора, или от гугла, или хотя бы есть развиваемая прошивка типа cyanogen.<br>И можно будет получать обновления безопасности.<br>А у пользователей apple такой возможности нет.<br>"Ждите следующей версии".<br>