Компания Google раскрыла сведения об использовании сертификатов ряда производителей смартфонов для заверения цифровой подписью вредоносных приложений. Для создания цифровых подписей применялись сертификаты платформы, которыми производители заверяют привилегированные приложения, входящие в основной состав системных образов Android. Из производителей, c сертификатами которых связаны подписи вредоносных приложений, прослеживаются Samsung, LG и Mediatek. Источник утечки сертификатов пока не выявлен...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58248
одним словом, зашкварились
> Samsung, LG и Mediatek ... вредоносные приложенияИ почему я нисколько не удивлён?
Потому что покупаешь мобильник LG в связном, спрашиваешь у них, нет ли ширусов, ждёшь две недели и ловишь попап, вшитый в хумскрин.
А что Rust от этого не спасает?
А ты знаешь какие права есть у оператора симкарты надо твоим телефоном ? Может сруст нам расскажет ?
Пора переписывать прошивку симки с Java на Rust. Rust да защитит!
> И почему я нисколько не удивлён?Ты когда-нибудь смотрел на код писаный этой троицей? Рекомендую, все вопросы отпадут сами. Да-да, если вы наняли в свою корпорацию биороботов с офигенным KPI, вы получаете свою итальянскую забастовку 2.0 :). Когда они все регламенты соблюли, но реально на безопасность им класть и в результате... вон там кто-то ехидно хихикает, в перерывах между тырингом кренделей и набивкой кошелька.
>И почему я нисколько не удивлён?странно, что ты не удивлён тому что можно невозобранно подписывать чужим сертом что попало.
вся суть этой вашей любой сертификации.
Смысл сертификации в сертификации тех кого надо сертификации. Ждем новых вкусных лаптов с сертифированной загрузкой виндовса !
Не, бизнес всегда таким был.
По ссылке на Virustotal:History
First Seen In The Wild 2016-02-13 11:50:54 UTC
По ссылке вирустотала интереснее срок действия сертификатов - 2039, 2038, 2044 года.------------------------------------------------------------
Certificate Attributes
Valid From 2012-04-30 13:51:05
Valid To 2039-09-16 13:51:05
Serial Number da49a5590952591f
Thumbprint 01d845b26b688d8ef647205a5944e9407e52e06eCertificate Subject
Distinguished Name C:KR, CN:AndroidPCert, L:Seoul, O:LGEMC, ST:Seoul, OU:Android, email:lap@lge.com
Email lap@lge.com
Common Name AndroidPCert
Organization LGEMC
------------------------------------------------------------
Certificate Attributes
Valid From 2011-06-22 12:25:12
Valid To 2038-11-07 12:25:12
Serial Number d20995a79c0daad6
Thumbprint 9ca5170f381919dfe0446fcdab18b19a143b3163
Certificate Subject
Distinguished Name C:KR, CN:Samsung Cert, L:Suwon City, O:Samsung Corporation, ST:South Korea, OU:DMC, email:android.os@samsung.com
Email android.os@samsung.com
Common Name Samsung Cert
------------------------------------------------------------
Certificate Attributes
Valid From 2017-04-06 06:48:08
Valid To 2044-08-22 06:48:08
Serial Number e3cd43b6f9cd254b
Thumbprint 1e8ec7df025da1313ec533aa3255d22f43c7562bCertificate Subject
Distinguished Name C:CN, CN:demo, L:HaiDian, O:MediaTek, ST:BeiJing, OU:WCD, email:demo@mediatek.com
Email demo@mediatek.com
Common Name demo
Organization MediaTek
Тырпрайзненько, а я как лох пилю пгп-ключи на год сроком.
> Тырпрайзненько, а я как лох пилю пгп-ключи на год сроком.Почему "как" ?
- Заверение вредоносного приложения тем же сертификатом, позволяет организовать его выполнение с тем же идентификатором пользователя и с теми же уровнем доступа к системе, без получения какого-то подтверждения от пользователяА вот это фейл. Эпик фейл.
Какая интересная дырища!
Не дырища, а технологическое отверстие.
А Huawei ?
А этих не смогли прогнуть Deep State под хотелки АНБ/ЦРА/ФБР и прочих МОСАД с МИ1...9.
> А Huawei ?А эти и без сертификатов черт знает что вытворяют. Посотри траф типичного хуавея на роутере, он и в гугл сливает, и в китай, и куда там еще, черт ногу сломит. И половину их программ фиг удалишь.
Собссно поэтому сия контора среди меня в перманентном блаклисте.
Интересно, почему в комментариях нет такого же негодования как и в новости https://www.opennet.dev/opennews/art.shtml?num=58230 , где просто упомянут российский корневой сертификат?
потомучто никого не удивляет откуда ноги этих сертификатов ростут
"Это другое!" (с)
А разве эти сертификаты позволяют MITMить весь твой траффик? Или для них нужно найти и установить вреднонос, и достаточно просто не ставить всякую срaнь из непроверенных источников?
Потому что подстилки американские.
Кто тут плевался на минцифры?
Засланные казачки,инфантилы. Основная масса просто прошла мимо.D
Будем плеваться и на то, и на это.
Минцифры опаснее для граждан. А так почта гомна конечно.ЗЫ:сразу видно дегенерата "все так делают!". Чтоб вы все подошли от кровавого поноса.
> ЗЫ:сразу видно дегенерата "все так делают!".Есть примеры зловредов, подписанных минцифры?
>> ЗЫ:сразу видно дегенерата "все так делают!".
> Есть примеры зловредов, подписанных минцифры?Оно само зловрет, причем под боком. А репутации дерьма вроде майлру и яедекса думаю говорить излишне.
> Минцифры опаснее для гражданИ граждане опаснее доя минцифры.
Накосячит минцифры, получит езды. А ты от Гугла сглотнёшь и заткнешься.
>> Минцифры опаснее для граждан
> И граждане опаснее доя минцифры.
> Накосячит минцифры, получит езды. А ты от Гугла сглотнёшь и заткнешься.Это смотря что считать косяков.
И нет, ничего кроме добавки к бюджету они не получат.
> Кто тут плевался на минцифры?Все кому не нравился пилинг и джамшутинг.
И не осыпинга опилок в рученьк?
Да и сами разрабы тоже хороши. Если внимательно изучить права некоторых прог от самсунга, то с какого-то момента (а точнее с обновлением до андройд 11) он им зачем то выдал неотбираемые права на доступ к телефону и Wi-Fi. Зачем клавиатуре доступ в Wi-Fi? Зачем какому-нибудь калькулятору доступ к телефону?
Клавиатуре надо собирать бигдату для диллера, соответственно, надо её и сливать. Калькулятору нужен доступ, чтобы он мог звонить, разве это не очевидно? Там всё прошито телеметрией и зондами, можешь не сомневаться.
Это, кстати, не шутки. После того, как на одном из телефонов Huawei сменил родную клавиатуру, телефон перестал показывать рекламу по теме набираемых сообщений.
Был у меня лопатофон от Asus, так там удаление или даже заморозка системного калькулятора приводила к бутлупу.Там приложения системные обновлялись через Маркет и калькулятор был как-то завязан на проверку подписей и целостности.
Список разрешений у калькулятора был соответствующий.Я пока вручную вычистил те говна, которые были предустановлены, ходил как по минному полю. Ведь рут я сделал, а рекавери с бэкапами там не было из-за подписанного загрузчика.
Только заливка прошивки заново, и всё сначала.
Давно сделал вывод для себя. Андроидофон себе - только из списка совместимости с LineageOS.
> Давно сделал вывод для себя. Андроидофон себе - только из списка совместимости
> с LineageOS.Согласен, но после того как 9-ом андроиде убрали API для записи звонков - совместимость с crdroid.net.
Это сборка на LineageOS, где запись звонков запилили назад. Правда только в стандартную звонилку (включается в опциях).
> Согласен, но после того как 9-ом андроиде убрали API для записи звонков
> - совместимость с crdroid.net.
> Это сборка на LineageOS, где запись звонков запилили назад. Правда только в
> стандартную звонилку (включается в опциях).Хмм, странно. У меня пока на 11-м андроиде LineageOS и в звонилке есть кнопка записи разговора. Причём работало, я пару раз всяких спамеров из люопытства писал. Надо будет перепроверить.
По ссылке свой девайс не нашёл (Mi5sPlus). Так что пока на основной ОСи :).
> Хмм, странно. У меня пока на 11-м андроиде LineageOS и в звонилке
> есть кнопка записи разговора. Причём работало, я пару раз всяких спамеров
> из люопытства писал. Надо будет перепроверить.Я говорю про автоматическую запись звонков, без всяких тыканий кнопочек. Просто все звонки складываются в папочку Music\Call Records с именем виде номера звонящего абонента, даты и времени звонка.
Раньше была куча сторонних программ разной степени удобства. Типа ACR. Но начиная с 9 андроида они не пашут.
Есть варианты через рут, но тоже сильно от ядра зависит и модели телефона.
Вся драма тут: https://androidinsider.ru/polezno-znat/google-zapretila-stor...
>Зачем какому-нибудь калькулятору доступ к телефону?это просто новая фича позволяющая набирать номер телефона на калькуляторе
Если хоть что-то знать о самсунг и вообще японца, то доверять этому все равно что засунуть голову в пасть голодному крокодилу в надежде, что пронесет.
И похер, что кореянцы.
> Зачем клавиатуре доступ в Wi-Fi?В смысле? А как твои пароли иначе скидывать в самсунг?! Индеец думал что офигенная клавиатура для его удобства, мды? :)
> Зачем какому-нибудь калькулятору доступ к телефону?
Есть калькулятор которым считают, а есть которым расчитываются.
>Зачем какому-нибудь калькулятору доступ к телефону?На планшетах без GSM модуля некоторые специальные коды, которые принято вводить с телефона, вводятся в калькуляторе. Вероятно это работает через API телефона. Ну не вырезать же разрешения при сборке приложения для нормальных телефонов. Там поди и код не вырезан, а просто отключен с проверкой флага во время выполнения.
Вот и пользуйся после этого андройдом называется. Лучше уж Аврора/Sailfish OS. Это же надо так лохануться. Там не то что 70% информации в китайфонах сливается, а уже вообще все улетает дядям , а смартфон превратился в адфон (ад - advertisement, короче реклама).
Чем лучше? Чем андройд.
Одной поляны ягоды, владельцы только разные. Но фабрика троллей минцифры должна отрабатывать свой хлеб.
Все, кто имеет мнение отличное от моего -- тролли и боты. Чем ты лучше либерах? Ничем, такой же. Впрчем, одержимость минцифры выдаёт в тебе сотрудника ципсо, явно какая-то повесточка в наличии.
> Лучше ужLibrem или pinephone на чистом дистрибутиве Linux, который ты сам настроил и собрал.
и сколько ты их уже лично собрал и запустил на личном либреме?
или как всегда, герой только в танцах на клавиатуре?
> и сколько ты их уже лично собрал и запустил на личном либреме?Ему и одного хватит. А остальное уже как бы проблемы индейцев.
> или как всегда, герой только в танцах на клавиатуре?Индеец хорохорится на тему одеял. Вон там посреди речки такие индейцы интереснее смотрелись на пару с их геолокацией. Тебе тут намекали что одеяла бывают немного тифозные. Ты в своем праве игнорить.
[от]соснафон - по сути убогий одноплатник, завёрнутый в корпус смартфона
либрем - тоже недалеко ушёл
Оттого, и у того и у другого фундаментальные ограничения на ту же камеру, ведь даже годный MIPI-CSI в обычные процы для встройки не кладутВдобавок, дистрибутивы линукса так себе работают на сильно мобильных устройствах вроде смартфонов - быстро заряд съедается и могут сильно греться при не самой высокой ощущаемой производительности
> Оттого, и у того и у другого фундаментальные ограничения на ту же
> камеру, ведь даже годный MIPI-CSI в обычные процы для встройки не кладутЭти "процы для встройки" так то изначально "процы для мобилок и планшетов" в основном.
> Вдобавок, дистрибутивы линукса так себе работают на сильно мобильных устройствах вроде
> смартфонов - быстро заряд съедается и могут сильно греться при не
> самой высокой ощущаемой производительностиНу да, намонго лучше работает шпион в кармане. Вопрос в том на чье благо. Хотя некоторым фича нравится - вон как лихо ракеты на геолокацию индейцам выписывают. А, да, так можно было :)
> Эти "процы для встройки" так то изначально "процы для мобилок и планшетов"
> в основном.Вообще-то нет. И отличает их, в первую очередь, наличие или отсутствие нормального CSI для камер.
То есть, планшет то на нём можно сделать. Какой-то. Даже мобильник - примерно такой же. Даже на АТМеге кто-то мобильник делал. Но будет это так себе.
Это( iMX ) контроллеры для встраиваемого оборудования. Если с выводом на один экран ещё куда ни шло, то далее даже с ними начинаются пляски. А уж про камеры и говорить не стоит. Но у них часто температурный диапазон хороший, а не как у коммерческих олвиннеров, которые ко всему прочему обычно работают в диапазоне 0-40 Ц.Неплохая поддержка камер была, разве что, у какой-то новой энвидиевской платы.
И на этом всё. Ни iMX, ни Allwinner, ни малину, почему-то не оснащают нормальной периферией, ввиду чего, максимум доступного - это убогие единицы-первые десятки мегапикселей камеры или, вовсе, вебка по юсб с 0,5-2 Мп.> Ну да, намонго лучше работает шпион в кармане. Вопрос в том на
> чье благо. Хотя некоторым фича нравится - вон как лихо ракеты
> на геолокацию индейцам выписывают. А, да, так можно было :)Там не в этом дело. У ОС, заточенных под мобильники, очень жёстко идёт борьба за потребление энергии - это и длительность работы от аккума и нагрев. Очень многие процессы "спят" в периодах между отдельными оповещениями от системы и краткими ответами или вообще выкинуты из ОЗУ.
Без этого, любой современный мобильник будет очень горячим, медленным( из-за перегрева будет тротлить, а на куче активных процессов размажется производительность ) и, главное, совсем не мобильным, ведь долго без зарядки не протянет
> Вообще-то нет. И отличает их, в первую очередь, наличие или отсутствие нормального
> CSI для камер.Вообще, это отличие в основном по "времени разработки" скорее. И да, опенсорсники достаточно долго раскачиваются. Наисвежайший SoC может выйти с полузажатыми доками, пока их выложат без NDA, пока в майнлайне напишут дрова, пока кто-то не очень враждебный и понимающий опенсорс печатки на таком научится делать... производитель как раз начинает вон те чипы больше под эмбедовку сватать, потому что к этому времени они как раз начинают там разлетаться как пирожки с такой поддержкой.
> То есть, планшет то на нём можно сделать. Какой-то. Даже мобильник -
> примерно такой же.Да мобильник как мобильник. Ну то-есть если хотеть самые блестючие их бус - индеец, их, конечно, получит. Только их хозяином он не является. Технология принадлежит не ему, служит не ему, а индейца рассматривает как кошелек и кормовую базу.
> Даже на АТМеге кто-то мобильник делал. Но будет это так себе.
Понятие "так себе" очень многофакторное. Таким манером некоторые весьма непозорные звонилки делают. Достаточно предсказуемые. И подлежащие всякой автоматизации и проч, в отличие от.
> Это( iMX ) контроллеры для встраиваемого оборудования. Если с выводом на один
> экран ещё куда ни шло, то далее даже с ними начинаются пляски.iMX разные бывают, в том числе и довольно крутые, а общего у них то что они относительно дорогие и маломощные. Китайцы в этом плане поинтереснее. Если оно маломощное то и стоит копейки. Ну и если бутявить нормальный линь а не яву с электроном, даже пары гиг оперативы выше крыши. И какой из ведроидных чатов сможет обставить даже элементарный XChat например? Ну да, это скорее на 7" и больше и с клавой, конечно, лучше.
> А уж про камеры и говорить не стоит. Но у них часто температурный диапазон хороший,
Конкретно iMX достаточно консервативная линейка ориентированая больше на эмбедовку.
> а не как у коммерческих олвиннеров,
На этом самом у олимекса сделаны штуки с индустриальным диапазоном. Основной проблемой как я понял правильный eMMC был.
> которые ко всему прочему обычно работают в диапазоне 0-40 Ц.Ахз, олимекс индустриальный заявили для минимум некоторых. Но это ессно минимум по ВСЕЙ комплектухе. Т.е. если 1 паршивый конденсатор не умещается в диапазон - вы его заявить не можете. Подведет вот именно этот конденсатор - и опачки.
> Неплохая поддержка камер была, разве что, у какой-то новой энвидиевской платы.
> И на этом всё. Ни iMX, ни Allwinner, ни малину, почему-то не
> оснащают нормальной периферией, ввиду чего, максимум доступного - это убогие единицы-первые
> десятки мегапикселей камеры или, вовсе, вебка по юсб с 0,5-2 Мп.Ну вообще сейчас ситуация несколько выправляется - дрова для железок камеры замайнлайнили что для pi, что для многих allwinner. На параллельный интерфейс максимум 5 Мпикс вроде. Бывают еще usb камеры для подобных затей, до пятка мегапикселей, я так понимаю для охраны и т.п. сватается.
>> на геолокацию индейцам выписывают. А, да, так можно было :)
> Там не в этом дело. У ОС, заточенных под мобильники, очень жёстко
> идёт борьба за потребление энергии -Путем всяких жаб и электронов то? А так на самом деле вопрос в том чтобы DVFS нормально настроить (да, дефолтный для многих allwinner совсем не low power) и чтобы в системе жручего ничего не было. Даже с весьма компромиссными немобилочными параметрами кушает 5V 45mA, но я не жесткарил с оптимизацией, это не мобила была.
> это и длительность работы от аккума и нагрев.
Именно поэтому они уже аккумуляторы во всю крышку по 3-6 амперчасов в флагманах ставят? Хоть какая-то польза от питоноэлектронов - здоровенные акумы дешевые стали.
> Очень многие процессы "спят" в периодах между отдельными
> оповещениями от системы и краткими ответами или вообще выкинуты из ОЗУ.Чем больше спят или отвисают на нижней частоте тем меньше кушают. Логично. Вот только 6-амперные батарейки прозрачно намекают.
> Без этого, любой современный мобильник будет очень горячим, медленным( из-за перегрева
> будет тротлить, а на куче активных процессов размажется производительность ) и,
> главное, совсем не мобильным, ведь долго без зарядки не протянетВ DVFS можно прописать любые желаемые пары частот-вольтажей, смотря что хотелось получить. Я меньше пары сотен МГц проц не спихиваю, иначе долго будет раздуплять что от него хотят. Но можно и раз в 10 ниже, будет жрать совсем крохи.
А в Авроре/Sailfish будет (есть) сертификат от Минцифры.
Че с лицом?
Так Че по лицу и узнавали. А руки просто для секретности отпилили.
> Вот и пользуйся после этого андройдом называется. Лучше уж Аврора/Sailfish OS.Да, лучше майору дать рута в своей системе, чем самсунгу. /s
Тебя сажать будет тов. майор, когда ему звёздочки на погоны понадобятся, а не самсунг. И твоё зарутованное устройство позволит майору залить тебе столько цп, сколько ему захочется.
>Для блокирования применения скомпрометированных сертификатов производителем предложено сменить сертификаты платформы, сгенерировав для них новые открытые и закрытые ключиКоторые опять же утекут. И это в Лучшей Корее, а не в какой-то корумпированной бензозаправке.
Интересно, а для KNOX, трастлетов и бутлоадера приватные ключи тоже на чёрный рынок попали? И насколько легально для компаний вроде Celebrite их покупать?
>И насколько легально для компаний вроде Celebrite их покупать?Не знаю, как там Cellebrite, а ГлавНИВЦ УДП РФ стопудово уже мог купить и продать.
>корумпированнойЕщё один рассуждает о высоком, а про изучение русского языка ему думать некогда.
ЗЫ Нет страны без коррупции. Вчера, сегодня и завтра люди будут врать, красть, убивать, насиловать и т.д.
Ты совершенно прав, да только почему-то в одних странах такое поведение осуждаемо и наказуемо, а в других — поощряется. Вот и думай теперь, где лучше жить.
нужно пользоваться опенсорсными операционными системами и программами
lineageos + Fdroid
Линукс-то аак выкинуть? Кто напишет драйверы для подходящей ОС?
>Линукс-то аак выкинуть?Не линукс, а android hal и видимо под libhubris.
А как отчекрыживать модули от закрытого собранного китайцами ведра, тут увы.
>А как отчекрыживать модули от закрытого собранного китайцами ведра, тут увы.А хотя не увы, вообще, нужен бинарный антиплагиат: кладёшь рядышком ведро нужной версии и маппинг от сорцов до кода, после чего перекладываешь маппинг на новое ведро и выделяешь изменения, джва года жду такой бинарный diff.
> Линукс-то аак выкинуть?Линукс всего лишь операционка. Она служит своему хозяину. И может быть весьма полезной штукой, если ты хозяин положения. А то что ты глупый индеец, которого OEM/MFR за именно индейца посчитал, раздав одеяла с бонусными микроорганизмами в комплекте... это уже немного другая ипостась. Плохи не одеяла а их дарители и цели таковых :)
> Кто напишет драйверы для подходящей ОС?
Кроме линукса другие ос особо и не шевелятся. Хотя можешь фуксии сдаться на милость победителя, вдруг гуглохипстеры тебя умаслят еще лучше? :)
>Хотя можешь фуксии сдаться на милость победителя, вдруг гуглохипстеры тебя умаслят еще лучше? :)Тут и пригодится libbuttplug как нельзя кстати.
Собирать ядро и приложения подписавать сам будешь? А если не будешь, то где гарантия, что их ключ рядом с ними не продаётся?Можно, конечно, переподписать. Но тогда все OTA будут уже не OTA.
Без рута на смартфоне - так и будет дальше. Каждый вендор ставит коллекцию блоатвари, с неконтролируемыми авто-обновлениями.И как без средств (без рутового доступа), проверить систему...
> Без рута на смартфоне - так и будет дальше. Каждый вендор ставит
> коллекцию блоатвари, с неконтролируемыми авто-обновлениями.
> И как без средств (без рутового доступа), проверить систему...Рута недостаточно чтобы выпилить.
Короче моя туземцев не хотеть ханьский мир. Моя хотеть ядерный война. Два ротожопых дракона с нервами жабы и глюки должны быть сброшены за горизонт событий
Если они и порубятся - то за привилегию индейца сожрать. Да и то могут забить на это да поделить на двоих. Этот индеец, кстати, ты.
Система то ваша?
И новые утекут. Потому что как же Старший брат будет за вами присматривать?
Большинство приложений вредоносные, судя по списку разрешений. Смартфоны - фуфло.
5 апреля 2021 года компания LG объявила, что к августу она уйдёт с рынка смартфонов из-за убытков в этой отрасли[8][9].
Certificate Attributes
Valid From 2012-04-30 13:51:05
Valid To 2039-09-16 13:51:05
А что же нащёт Шаоми???