The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Android-телефонах HTC выявлена серьезна проблема безопасности"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Android-телефонах HTC выявлена серьезна проблема безопасности"  +/
Сообщение от opennews on 03-Окт-11, 14:32 
В телефонах компании HTC на базе платформы Android выявлена (http://www.androidpolice.com/2011/10/01/massive-security-vul.../) недоработка реализации отладочного режима, позволяющая любому приложению, имеющему полномочия выхода в сеть, получить доступ к приватной информации пользователя, такой как содержимое адресной книги, история звонков, системные логи, данные об изменении местоположения и архив SMS, не требуя получения специальных прав на выполнение данных операций. Уязвимости подвержены устройства EVO 4G/Shift 4G, EVO 3D, Thunderbolt, MyTouch 4G, Vigor и Sensations.


Проблема вызвана тем, что компания HTC поставляет в составе платформы Android дополнительное приложение HtcLoggers.apk, осуществляющее ведение подробного лога всех операций. Изначально данное приложение нацелено (http://forum.xda-developers.com/showthread.php?t=901158) на упрощение отладки проблем. В ...

URL: http://www.androidpolice.com/2011/10/01/massive-security-vul.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=31926

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Анон on 03-Окт-11, 14:32 
Шьём кастомную прошивку и радуемся...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  –3 +/
Сообщение от Аноним (??) on 03-Окт-11, 14:56 
И радуемся вшитым в неё троянам.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +2 +/
Сообщение от Crazy Alex (??) on 03-Окт-11, 15:58 
CyanogenMod в помощь. Покамест троянов в нём как-то не замечено.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  –3 +/
Сообщение от Аноним (??) on 03-Окт-11, 18:16 
Какие скрытные там трояны.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

46. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:46 
Зато в софте в андроидмаркете каждая вторая программа - адваре, спайваре и прочее малваре. Бардак имени гугля.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +33 +/
Сообщение от тоже Аноним (ok) on 03-Окт-11, 14:32 
Ну вот. Один из патентов, за которые они отстегивают МС, оглашен! ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +1 +/
Сообщение от Анонимхо on 03-Окт-11, 14:37 
Прямотаки-уж и уязвимость. Бэкдор прокакали, теперь уязвимостью назвают. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 15:00 
>например, данные права требуют все программы участвующие в сетях контекстной рекламы

Это прискорбно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:08 
Разработчиков малвари - на кол. Вместе с адваро-спайварщиками.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +14 +/
Сообщение от ВКПб on 03-Окт-11, 15:02 
Плохо закреплённый зонд выпал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 15:03 
Да, кстати, меня интересует, а есть ли указания на то, что данная программа участвует "в сетях контекстной рекламы"? И есть ли такие программы на дефолтной прошивке от HTС, например?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 15:15 
Тащемта пока, думаю, ничего нет а комменты от производителя не поступали.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Jotunn on 03-Окт-11, 16:50 
Если в описании программы упоминается "Add-supported", то реклама будет. Так же если программе для работы интернет не нужен, а разрешение на него она просит - тоже будет реклама. А в штатной прошивке программы рекламу не показывают.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

33. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Avator (ok) on 03-Окт-11, 19:54 
она не участвует. Это же предустановленное приложение от самой HTC.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  –3 +/
Сообщение от Аноним (??) on 03-Окт-11, 15:30 
ээ а мену его нету, етого пакету...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +4 +/
Сообщение от Аноним (??) on 03-Окт-11, 20:10 
> ээ а мену его нету, етого пакету...

Так установите, а то как это - у всех зонд есть а у вас - нету?! HTC не одобряет!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +4 +/
Сообщение от Maresias (ok) on 03-Окт-11, 15:42 
Весной Apple попались, теперь вот HTC. Попадутся и другие, это вопрос времени. Повадки у всех корпораций одинаковые, и в их изделиях всегда есть трояны и шпионское ПО. Нужно пользоваться обычными телефонами, которые просто звонят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +2 +/
Сообщение от Crazy Alex (??) on 03-Окт-11, 16:01 
К которым даже намёка на исходники нет, и шансов обнаружить троян, соответственно, тоже маловато. Потому что даже если у вас в меню нет пункта "интернет" - это, вообще говоря, никак не значит, что телефон на вас стучать не может - возможно вся логика в нём приутствует (например, доступ к интернету не дали из маркетинговых соображений - когда дорогой телефон от дешевого отличается только прошивкой).
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +1 +/
Сообщение от Аноним (??) on 03-Окт-11, 16:02 
Кто сказал, что стучать можно только через интернет? "Обычные звонилки", как правило, регулярно отчитываются перед сетью оператора.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 16:11 
>"Обычные звонилки", как правило, регулярно отчитываются перед сетью оператора.

Что, и содержимое контакт-листа отсылают? И даже пароли, которых физически там нет?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +3 +/
Сообщение от szh (ok) on 03-Окт-11, 16:18 
содержимое контакт листа смотрите в распечатках детализации биллинга.

> И даже пароли, которых физически там нет?

кто вас заставляет в смартфон вводить пароли ?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 16:43 
>содержимое контакт листа смотрите в распечатках детализации биллинга.

Т.е. сажать на утюг оператора? Далеко не у каждого есть такие возможности. Впарить троян намного троян.

>кто вас заставляет в смартфон вводить пароли ?

Почта, IM, твиттеры... А иначе смысл брать звонилку за 1 килобакс?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 17:31 
> Впарить троян намного троян.

Впарить троян намного проще. obvious fix


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +4 +/
Сообщение от Аноним (??) on 03-Окт-11, 17:45 
Первая формулировка лучше.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от szh (ok) on 03-Окт-11, 17:53 
> Почта, IM, твиттеры...

они тебя соблазняют, а не заставляют.

> А иначе смысл брать звонилку за 1 килобакс?

за 250-400$

Чтобы лазить по инету с удобным тачскрином, иметь нормальную записную книжку для звонков, бесконечное число будильников с разными настройками, читалка .txt, смотреть видео, cлушать инет-радио и fm радио, флешка с собой и т п.


> Впарить троян намного троян.

это да.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 18:51 
> Чтобы лазить по инету с удобным тачскрином, иметь нормальную записную книжку для
> звонков, бесконечное число будильников с разными настройками, читалка .txt, смотреть видео,
> cлушать инет-радио и fm радио, флешка с собой и т п.

а звонить-то оно будет?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от szh (ok) on 03-Окт-11, 18:55 
> а звонить-то оно будет?

странный вопрос. Я говорю о смартфонах ведущих производителей на андроиде.


Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "В Android-телефонах HTC выявлена серьезна проблема..."  +1 +/
Сообщение от anonymous (??) on 03-Окт-11, 19:01 
>> а звонить-то оно будет?
> странный вопрос. Я говорю о смартфонах ведущих производителей на андроиде.

а звонить-то оно будет? ведроид — это круто, но мне звонить надо!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

40. "В Android-телефонах HTC выявлена серьезна проблема..."  +1 +/
Сообщение от Аноним (??) on 03-Окт-11, 20:19 
> а звонить-то оно будет? ведроид — это круто, но мне звонить надо!

Купи себе ноклу 1100 с фонариком для финских школьников и не парься. Звонить будет, а вот все остальное - увы.


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

41. "В Android-телефонах HTC выявлена серьезна проблема..."  +1 +/
Сообщение от anonymous (??) on 03-Окт-11, 20:22 
> Купи себе ноклу 1100 с фонариком для финских школьников и не парься.
> Звонить будет, а вот все остальное — увы.

ты не поверишь, но телефон мне и нужен именно для звонить, а не для «всего остального».

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:33 
> ты не поверишь, но телефон мне и нужен именно для звонить, а
> не для «всего остального».

А мне например надо GPS навигацию, потому что сильно экономит время. Онлайн банкинг - по той же причине. Интернет - аналогично.

А если так рассуждать - чтобы не упал на голову кирпич, не надо выхожить на улицу, видимо. А для надежности поселиться в укрепленном бункере, тогда и небольшой метеорит не страшен будет.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 20:51 
>А мне например надо GPS навигацию, потому что сильно экономит время.

Какая-то странная там GPS-навигация. Требует наличие инета. Я про гугловскую, если что. Да и история с gaia как-то не внушает доверия, я считаю. Куда уж проще купить нормальный оффлайновый навигатор за пару килорублей.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

54. "В Android-телефонах HTC выявлена серьезна проблема..."  +1 +/
Сообщение от Аноним (??) on 03-Окт-11, 22:34 
> Какая-то странная там GPS-навигация. Требует наличие инета.

У меня n900, поэтому проблемы негров... (я про смарты вообще говорил, а не только гуглозависимых).

> Я про гугловскую, если что.

Ну я OSM использую в Maemo Mapper. И подробно и оффлайн кеш весьма грамотный.

> Да и история с gaia как-то не внушает доверия, я считаю.
> Куда уж проще купить нормальный оффлайновый навигатор за пару килорублей.

У меня таковым n900 выступает, "до кучи". Нормальный оффлайновый OSM умеет кушать? Нет? Тогда нафиг - в OSM одни из лучших картографических данных. Что по городу, что по медвежьим углам.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

59. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 23:16 
> У меня таковым n900 выступает, "до кучи". Нормальный оффлайновый OSM умеет кушать?
> Нет? Тогда нафиг - в OSM одни из лучших картографических данных.
> Что по городу, что по медвежьим углам.

Это ты про московию? Так её картами можно обложиться на любом сервисе. А пока я наблюдаю почти везде "...more OSM coming soon" и отсутствие большинства грунтовых дорог.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

63. "В Android-телефонах HTC выявлена серьезна проблема..."  +1 +/
Сообщение от progserega email(ok) on 04-Окт-11, 01:20 
Зачастую в OSM как раз большая детализация по-сути. При езде Владивосток-Байкал по двум навигаторам, в одном из которых были "Дороги России", в другом - OSM, выяснилось, что на практике надёжнее ехать по OSM, т.к. "Дороги России" часто заводят в тупики, вместо того, чтобы ехать по нормальной дороге. Потому, когда надо было "без проблем" проехать какой-либо город - ехали по OSM.

И, к слову, если вы едете там, где в OSM нет дорог - это повод её там нарисовать :-)
Ведь созидать всегда приятнее, чем просто брать.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

64. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от Аноним (??) on 04-Окт-11, 14:13 
> Это ты про московию? Так её картами можно обложиться на любом сервисе.

Только половина - тухлые. Как бы иногда меняются названия улиц, адреса контор, etc. В OSM это апдейтит первый же налетевший на нестыковки, а в остальных - как повезет. OSM тупо актуальнее.

> А пока я наблюдаю почти везде "...more OSM coming soon" и
> отсутствие большинства грунтовых дорог.

Я в OSM тропинку в лесу нашел, о которой даже местное население не знало. А кто-то вот взял и нанес. А вы говорите - грунтовая дорога! Ха! У всех остальных с этим все намного более уныло. Лучше признайтесь что вы навигаторы видели только на картинке и не звиздите.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

70. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от fi (ok) on 06-Окт-11, 18:54 
> Какая-то странная там GPS-навигация. Требует наличие инета. Я про гугловскую, если что.

Все правильно - карты закачивает по мере требуемости.

> Куда уж проще купить нормальный оффлайновый навигатор за пару килорублей.

Ага, а там кривой windows CE 6 с устаревшими картами на урезанном железе, и обновление за отдельные деньги.  И далеко не все города, а когда  выезжаешь за границу, то упс! левые карты почему-то не лезут в память, а он предлагает что-нибудь подвинуть, но потом все равно зависает.

Все это проходили. В германии был более менее приемлимый результат: купил internet D2 - безлимит за €15, вставил симку в андройд, подключил зарядку и катался по автобанам с навигатором на ура! Там каждый въезд/выезд указан.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 20:59 
> А мне например надо GPS навигацию, потому что сильно экономит время. Онлайн
> банкинг - по той же причине. Интернет - аналогично.

(пожимает плечами) для этого у меня есть нетбук. он таки намного удобней для подобных дел. он вообще почти как настоящий комп, с полноценной ОС и браузером к тому же. и нет, носить на плече сумку или за плечами рюкзачок мне не напряжно.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

50. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 20:59 
ну, кроме GPS, конечно, это исключаем.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

55. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 22:36 
> (пожимает плечами) для этого у меня есть нетбук. он таки намного удобней
> для подобных дел.

Во первых, жрет он намного больше. Долго не понавигируешь, особенно вдали от 220 вольт.
Во вторых, горбину можно и надорвать.

> он вообще почти как настоящий комп, с полноценной
> ОС и браузером к тому же.

А у меня - n900. Полноценный комп с полноценной ос и браузером. В карман умещается. Мне нравится.

> и нет, носить на плече сумку или за плечами рюкзачок мне не напряжно.

А мне ломливо только ради ноута, как бы. Особенно при том что то же самое но на ARM в карман лезет.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от жабабыдлокодер (ok) on 03-Окт-11, 21:21 
У меня она больше пяти лет живет в умирать не собирается. Даже аккумулятор практически не просел.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

56. "В Android-телефонах HTC выявлена серьезна проблема..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 22:41 
> У меня она больше пяти лет живет в умирать не собирается. Даже
> аккумулятор практически не просел.

Ну и юзайте наздоровье. Только вот сотовый терминал - вообще один сплошной большой зонд.
1) Он не работоспособен без сотовой сети и симкарты
2) Все сотовые стандарты построены так что юзер молча соглашается с любой выходкой оператора.
3) Ничего своего там запустить вообще толком нельзя.
4) RTOS которая там есть - закрыта напрочь, а что там в нее запихано можно узнать только отдизасмив простыню на много мегов.

Итого: все контролируется оператором. Обычный стандартный мобильник - зонд почти 100%. СМС? А они через оператора летают. Звонки? Тоже. И вы даже не можете ничего зашифровать. Даже если б и захотели. Некоторая разница, да?

А например n900, будучи полноценным компьютером, может спокойно кинуть openvpn линк до моего сервака и даже если я вылез через недоверяемую точку доступа или операторскую сеть - ну SSL уровень то до моего хоста не отменяли :)

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

34. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 19:56 
>они тебя соблазняют, а не заставляют.

Тебя? Может быть. А для многих это ещё и работа.


>Чтобы лазить по инету с удобным тачскрином, иметь нормальную записную книжку для звонков, бесконечное число будильников с разными настройками, читалка .txt, смотреть видео, cлушать инет-радио и fm радио, флешка с собой и т п.

И всё это прямиком будет слаться непонятно кому. Весело, что тут сказать.


ЗЫЖ не до конца понял смысл фразы  "лазить по инету". Как это полноценно делать без паролей и ключей, я слабо представляю.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

44. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:36 
> И всё это прямиком будет слаться непонятно кому. Весело, что тут сказать.

У меня на n900 не шлется :) я с tcpdump трафф злостно мониторю и вообще айпитаблесом откусил его до внутреннего VPN и точек входа в оный, а в внешний мир только через проксь с авторизацией. Как бы удачи вирусам что-то спереть %).

А так - миру явно нужна система для смартов без мутных зондов от корпорастов. А может и смарт. Ну, типа OpenMoko в его инкарнации GTA04.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 20:59 
>а в внешний мир только через проксь с авторизацией

Не панацея. Бэкдор можно и в броузер влепить. Тогда ты сам предоставишь доступ кому надо и куда надо. Кроме того, ни кто не мешает "подсмотреть" настройки браузера и использовать их для отправки личных данных, например.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

57. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 22:47 
> Не панацея. Бэкдор можно и в броузер влепить.

В фирмварину обычной звонилки тоже можно много чего встроить. Но нахрен не нужно, поскольку все и так прет через оператора и по его каналам оно прет не шифрованое. Бери себе и выгребай. МТС вон например охамел до анализа социальных связей между абонентами (на основе анализа логов звонков, да).

> Тогда ты сам предоставишь доступ кому надо и куда надо.

А в случае обычной звонилки все, совершенно все данные прут без шифрования по операторской сети. Шифрование эфира - мало того что в GSM полудохлое, так еще и ослаблено дополнительно. Грести все это может кто угодно. Начиная от спецслужб и стаффа оператора у которых оно в расшифрованном виде под носом летает, и заканчивая хакером с ноутом и железкой ценой не более пары штук зелени, который совершенно без проблем может пристроиться MITMом. И что характерно, прецеденты были.

> Кроме того, ни кто не мешает "подсмотреть" настройки браузера и использовать
> их для отправки личных данных, например.

А gsm-терминалы вообще подчиненные в сети. Делают что им оператор скажет. Сплошной зонд вообще. В смартах все это паскудство хотя-бы вынесено в отдельную периферийную железку и система строится не вокруг нее (исключение - квалкомм, на редкость извратные процы где основа системы именно сотовый модем).

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

58. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 23:11 
>В фирмварину обычной звонилки тоже можно много чего встроить

Так встраивай. Только непонятно что ты будешь слать и, главное, через что.


>А в случае обычной звонилки все, совершенно все данные прут без шифрования по операторской сети.

Какие конкретно данные прут по операторской сети? Мне очень интересно.


>В смартах все это паскудство хотя-бы вынесено в отдельную периферийную железку и система строится не вокруг нее (исключение - квалкомм, на редкость извратные процы где основа системы именно сотовый модем).

И что, что они вынесены? Главное, любая программа может читать личные данные и сливать их в инет. И, главное, уже нет необходимости подминать под себя оператора и прочее. Просто выходит в инет и шлёт хоть на другой конец земного шара. Просто и удобно.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

66. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 04-Окт-11, 14:40 
> Так встраивай. Только непонятно что ты будешь слать и, главное, через что.

Вот именно - оператору и так все доступно, сиди себе да разгребай на коммутаторе или просто снифь эфир поблизости :) [шифрование эфира в гсм - полное уг, считайте что его нет].

>>А в случае обычной звонилки все, совершенно все данные прут без шифрования по операторской сети.
> Какие конкретно данные прут по операторской сети? Мне очень интересно.

Все. Абсолютно вся активность мобильника - как на ладони.
1) В общем случае сеть знает позицию мобилы с точностью до 500 метров. Ну и историю cell ID хранить оператору не запретишь. Хранят ли - да хз.
2) Сеть задает практически все параметры которые вообще конфигурябельны. Вплоть до частоты подтверждения наличия в сети и уровня сигнала при котором вы пролетаете. Сеть всегда может втихаря "пингануть" и узнать текущее расстояние до выбраной соты.
3) Все данные (смс, звонки) идут через сеть опертора, без шифрования. Оператор может снифать до усрачки. И уж как минимум оператор знают кто кому звонил, СМСил и прочая. Можете считать что логи ваших звонков остаются в базах вечно - диски нынче емкие. Вероятно и тексты смс целиком логгят.

[.....]
> И что, что они вынесены?

Например, то что можно допустим перекрыть весь кислород сетевому траффику кроме как одному единственному VPN до своих доверяемых хостов. Тогда оператор вообще не сможет анализировать сетевую активность. Не говоря уж о дампах контактлистов и изучении кто куда чего слал и прочая. Поверх недоверяемого уровня всегда можно построить доверяемый, с своими правилами игры. Чем VPN и занимается.

> Главное, любая программа может читать личные данные и сливать их в инет.

Операторские БД с списками абонентов тоже были слиты в интернет. Спасибо что хоть не данные биллинга, и то поди вопрос времени с нашими раздолбаями. Ходят слухи что как минимум в первый раз БД абонентов пролюбило доблестное ФСБ опосля нордоста. А так - ну нефиг ставить что попало. А то вон ножом можно порезаться, а молотком - отбить палец. Давайте не будем пользоваться ножами и молотками по этому поводу?!

> И, главное, уже нет необходимости подминать под себя оператора и прочее.

Да уж - это в случае мобильного оператора и тупого терминала заведомо безнадежно. Нет смысла в битве если она заведомо проиграна. А вот в случае смарта из недоверяемого уровня можно сделать доверяемый. И кому и что можно - можно контролировать. Если кто слишком туп чтобы это понять и пользоваться этим - я не виноват.

> Просто выходит в инет и шлёт хоть на другой конец земного шара. Просто и удобно.

Так нефиг ставить себе что попало. К тому же iptables не отменяли. Можно хоть впн с выходом в интернет только через проксю с авторизацией наворотить, получится весьма малвароустойчивое окружение в стиле корпоративных сеток, которое к тому же не могут снифать ни хакеры мониторящие халявный вайфай, ни операторы.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

62. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от ffirefox on 04-Окт-11, 00:41 
> У меня на n900 не шлется :) я с tcpdump трафф злостно
> мониторю и вообще айпитаблесом откусил его до внутреннего VPN и точек
> входа в оный, а в внешний мир только через проксь с
> авторизацией. Как бы удачи вирусам что-то спереть %).

Ваш TCP работает поверх закрытого блоба GSM стэка. Можно хоть обмониторится с tcpdump, пока по той же SMS (или в диагностическим сообщениях оператора связи) будет выслан Ваш закрытый ключ VPN.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

67. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 04-Окт-11, 14:47 
> Ваш TCP работает поверх закрытого блоба GSM стэка. Можно хоть обмониторится с
> tcpdump, пока по той же SMS (или в диагностическим сообщениях оператора
> связи) будет выслан Ваш закрытый ключ VPN.

Как вы представляете себе техническую реализацию этого? Блоб в гсм модеме живет, это отдельная фирмвара, с отдельным процом, изображающая из себя отдельный модем. С процом приложений оно взаимодействует через интерфейс модема, не более. С примерно таким же успехом юсб-свисток опсоса может у вас что-то с компьютера украсть. Кроме того - есть еще такие штуки как strace :).

Кстати да, в н900 не реализован довольно противный операторский зонд "sim application toolkit", регулярно используемый операторами для досаждения абоненту путем втыкания своих гребаных меню в меню телефона и что там еще.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

38. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:15 
>>содержимое контакт листа смотрите в распечатках детализации биллинга.
> Т.е. сажать на утюг оператора? Далеко не у каждого есть такие возможности.
> Впарить троян намного троян.

А что, ваш оператор не предоставляет распечатку биллинга? Биллинг тупо знает о том кому и куда вы звонили, кто слал вам смс и прочая. Чтобы биллинговать (ну и досье вести). К тому же судя по тому то валится из подсетей операторов - там половина машин давно расхакана нахрен и там правит бал черт его знает какая самоходная живность. Особенно жестко в региональных закоулках :)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

19. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Crazy Alex (??) on 03-Окт-11, 16:41 
Так и я о том же
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Maresias (ok) on 03-Окт-11, 17:13 
> Кто сказал, что стучать можно только через интернет? "Обычные звонилки", как правило,
> регулярно отчитываются перед сетью оператора.

См. мой комментарий ниже. Если я покупаю сим-карту, не заключая договор с оператором связи, то пользуюсь этой самой связью практически анонимно. Никаких паролей, учётных записей и прочих данных, которых всегда полно в умных звонилках.

Так что пусть звонилки отчитываются, забивают базу оператора никому не нужной бессодержательной информацией об анонимусе.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Crazy Alex (??) on 03-Окт-11, 17:44 
Видите ли, есть ещё такое понятие, как профили абонента. Простейший пример: если вы звоните жене, любовнице, шефу и родителям, то по этим номерам довольно просто связать разные SIM, которые вы суёте в свой телефон, с очень высокой степенью достоверности. А там - где-нибудь да засветятся ваши другие данные для хоть одного из номеров. В общем, не так там всё просто, хотя это лучше, чем смартфон с контрактной SIM и кучей приватных данных на нём.

Кстати, это совсем простой пример, там ещё много всего. Например анализируются маршруты и привычное время звонков - это делается для борьбы со сливщиками трафика и прочим "нецелевым" с точки зрения опсоса использованием телефона.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

39. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:18 
> См. мой комментарий ниже. Если я покупаю сим-карту, не заключая договор с
> оператором связи, то пользуюсь этой самой связью практически анонимно. Никаких паролей,
> учётных записей и прочих данных, которых всегда полно в умных звонилках.

Как бы это сказать, позвонили вы Васе. Вот биллинг уже знает что вы звонили Васе. Если приспичит - Васю можно и за зад взять. Ну например пообещать ему много проблем. Как вы думаете, сколько человек вас не сдаст? А достаточно и одного.

> Так что пусть звонилки отчитываются, забивают базу оператора
> никому не нужной бессодержательной информацией об анонимусе.

Проблема в том что если вы попадете под внимание, определить кто и что при должном желании можно. Также не забываем о IMEI номере у телефонов (менять надо аппарат и симкарту одновременно, иначе соответствие можно по IMEI отловить).

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

14. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 16:01 
>Нужно пользоваться обычными телефонами, которые просто звонят.

Вы думаете, что уж через них-то за вами следить не будут? Наивный человек :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +1 +/
Сообщение от anonymous (??) on 03-Окт-11, 16:13 
>>Нужно пользоваться обычными телефонами, которые просто звонят.
> Вы думаете, что уж через них-то за вами следить не будут? Наивный
> человек :)

И что? Это повод светить свои данные вообще всем подряд? Да и вообще, в "звонилке" приватных данных на порядок меньше.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

45. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:38 
> И что? Это повод светить свои данные вообще всем подряд? Да и
> вообще, в "звонилке" приватных данных на порядок меньше.

Кстати даже звонилка обычно умеет Sim Application Toolkit, который по сути самый натуральный бэкдор, позволяющий оператору общаться с симкартой втихаря и делать с оной одному ему известные махинации :) [есть ли там инженерные субкоманды для слива адресбука и прочая - кто ж его знает?, симкарты защищены от чтения фирмвари]

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Maresias (ok) on 03-Окт-11, 17:08 
>>Нужно пользоваться обычными телефонами, которые просто звонят.
> Вы думаете, что уж через них-то за вами следить не будут? Наивный
> человек :)

А что можно украсть из простой звонилки? В ней нет ни паролей к электронным кошелькам, ни номера банковской карточки, ни имени, ни фамилии, ни учётных данных из социальных сетей. В списке контактов увидят информацию "Маша, Юля, Лена", тоже без фамилий? Ну и какому оператору связи это интересно, если Маш, Юль и Лен миллионы?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Crazy Alex (??) on 03-Окт-11, 17:46 
>>>Нужно пользоваться обычными телефонами, которые просто звонят.
>> Вы думаете, что уж через них-то за вами следить не будут? Наивный
>> человек :)
> А что можно украсть из простой звонилки? В ней нет ни паролей
> к электронным кошелькам, ни номера банковской карточки, ни имени, ни фамилии,
> ни учётных данных из социальных сетей. В списке контактов увидят информацию
> "Маша, Юля, Лена", тоже без фамилий? Ну и какому оператору связи
> это интересно, если Маш, Юль и Лен миллионы?

А Маша с Юлей засветили во вконтактовском профиле свои реальные ФИО рядом с телефоном, к примеру. Впрочем, подобное операторам действительно не интересно. Как и реквизиты банковской карточки он красть не будет. В этом смысле смартфон, конечно, много хуже именно потому что непонятно, к кому попадут ваши данные и какой их частью он заинтересуется.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 20:00 
>Как и реквизиты банковской карточки он красть не будет.

А теперь вопрос на засыпку. Как сотовый оператор может украсть реквизиты банковской карты? В контексте простой звонилки, конечно же.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 20:27 
> В контексте простой звонилки, конечно же.

В контексте простой звонилки оператор может тырить только текст смсок и все что там было, слушать звонки и анализировать логи. Кстати прецеденты были - в принципе недобросовестный стафф на коммутаторе может и злоупотребить. Если в больших операторах за этим еще может как-то следят то в конторах помельче... впрочем, по интернету гуляют вполне доходчивые БД с данными абонентов опсосов, что недвусмысленно намекает на их способность защитить себя и данные абонентов.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

61. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 23:29 
> В контексте простой звонилки оператор может тырить только текст смсок и все
> что там было, слушать звонки и анализировать логи.

Это не всем интересно. А вот поиметь номер кредитной карточки со всеми ключами и паролями гораздо интереснее. Особенно, если жертва находится где-то на другом конце земного шара и даже не подозревает об этом. Благо, технических возможностей у смарта поболее будет, чем у простой звонилки.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

68. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 04-Окт-11, 14:52 
> Это не всем интересно. А вот поиметь номер кредитной карточки со всеми
> ключами и паролями гораздо интереснее.

У меня на n900 не хранится номер кредитной карточки. И логин и пароль к онлайн-банкингу там не хранится - в голове оно, внезапно! И спереть снифером клавы сложно, ибо там наэкранная клава на JS, в которую потребно мышкой тыкать, но она и против стилуса или пальцев не возражает, что довольно логично :). Что и как вы у меня спереть собираетесь? :)

> Особенно, если жертва находится где-то на другом конце земного шара и
> даже не подозревает об этом. Благо, технических возможностей у смарта поболее
> будет, чем у простой звонилки.

Да, чувак, бензопилой и дрелью можно покалечиться серьезнее и легче чем палкой-копалкой. Давайте дружно выбросим все эти опасные инструменты в пользу безопасной палки-копалки?

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

52. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 21:47 
Кому надо, реквизиты карты скиммером снимут. Навиный и доверчивый... Повесят скиммер у входа в Ашан и привет. Нахрен их с смертьфона переть?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

53. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 03-Окт-11, 21:47 
>>Как и реквизиты банковской карточки он красть не будет.
> А теперь вопрос на засыпку. Как сотовый оператор может украсть реквизиты банковской
> карты? В контексте простой звонилки, конечно же.

http://lenta.ru/news/2011/10/03/cards/

Сюда читаем. Это отнюдь не с мобил треки тырят.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

60. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от anonymous (??) on 03-Окт-11, 23:25 
> Сюда читаем. Это отнюдь не с мобил треки тырят.

Про операторов, тырящих пароли с мобил в упор не заметил. Честно. А вот терминалы это не аргумент. Там почти везде венда с полным доступом в инет и самое дешёвое железо. Впариваем троян технику, а уж он посредством флешки заразит всю сеть.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

69. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним (??) on 04-Окт-11, 14:54 
> Впариваем троян технику, а уж он посредством флешки заразит всю сеть.

Это достаотчно паливно. А вот воткнуть накладную клаву и накладной ридер можно и не пересекаясь с техниками, инкассаторами и прочая. На хабре была довольно познавательная статейка, почти курс молодого кардера, правда с уклоном в защитные цели в плане того как распознать подлянку и обойти сторонкой :))

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +1 +/
Сообщение от Xasd (ok) on 04-Окт-11, 14:14 
> HtcLoggers используются привязанный к интерфейсу loopback сетевой порт, доступ к которому не ограничен для локальных программ

такая проблема есть у горы говно-софта, которые использует *ЗАЧЕМТО* сетевые порты, вместо unix-domain-sockets (или можно использовать dBus с авторизацией)...

...ну вот ЗАЧЕМ..ЗАЧЕМ?

...ну тут-то (отладка телефона) хоть понятно что сетевые порты использоваться могут для удалённого доступа... но в остальных случаях зачастую нужно именно unix-domain-sockets или dBus

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "В Android-телефонах HTC выявлена серьезна проблема безопасно..."  +/
Сообщение от Аноним email(??) on 21-Янв-12, 15:33 
В мойому телефоні Htc Incredibl S непрацює нижня сенсорна панель що мені робити???
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру