Кто тут говорил, что апдейты Андроиду не нужны, и вообще Андроид — то же круто?
http://www.networkworld.com/news/2011/111811-smartphones-dirty-dozen-253288.html
перевод тут:
http://habrahabr.ru/company/dataved/blog/133404/
инфографика:
http://www.bit9.com/orphan-android/graphic.php
Кратко:
— так как апдейты отданы на откуп производителям телефонов, производители на апдейты тупо забивают (например, Самсунг считает нормальным выпустить телефон с версией, на 11 месяцев отстающей от текущей) или выкладывают обновления таким образом, что нормальный человек фиг до них доберется и/или установит.
— в среднем производителям требуется 6 месяцев, чтобы выпустить апдейт для телефона
— 56% андроидов бегают на устаревших версиях
То есть это не апдейты 2.x -> 3.x -> 4.x, а даже минорные апдейты типа 2.3 -> 2.3.x -> 2.4 -> 2.4.x, которые могут и включают в себя багфиксы и обновления безопасности.
ЗЫ. iPhone nоже упомянут, потому что до iOS5 в исследовании считают, что способ распространения апдейтов был неудобен. Ну и на данный момент только 38% айфонов перешли на iOS 5
Здравствуйте, Mamut, Вы писали:
M>Кто тут говорил, что апдейты Андроиду не нужны, и вообще Андроид — то же круто?
M>http://www.networkworld.com/news/2011/111811-smartphones-dirty-dozen-253288.html
M>перевод тут: http://habrahabr.ru/company/dataved/blog/133404/
M>инфографика: http://www.bit9.com/orphan-android/graphic.php
M>Кратко:
M>- так как апдейты отданы на откуп производителям телефонов, производители на апдейты тупо забивают (например, Самсунг считает нормальным выпустить телефон с версией, на 11 месяцев отстающей от текущей) или выкладывают обновления таким образом, что нормальный человек фиг до них доберется и/или установит.
M>- в среднем производителям требуется 6 месяцев, чтобы выпустить апдейт для телефона
M>- 56% андроидов бегают на устаревших версиях
M>То есть это не апдейты 2.x -> 3.x -> 4.x, а даже минорные апдейты типа 2.3 -> 2.3.x -> 2.4 -> 2.4.x, которые могут и включают в себя багфиксы и обновления безопасности.
M>ЗЫ. iPhone nоже упомянут, потому что до iOS5 в исследовании считают, что способ распространения апдейтов был неудобен. Ну и на данный момент только 38% айфонов перешли на iOS 5
«Это повышает уязвимость от любого вида атак»
пруфы уязвимостей где?
B>>«Это повышает уязвимость от любого вида атак»
B>>[/q]
B>>пруфы уязвимостей где?
M>Рядом: http://rsdn.ru/forum/flame.comp/4502590.1.aspxАвтор: Mamut
Дата: 18.11.11
дык то малварь/спайвары которые ставить нуна. Обновление оси от них не поможет, тока обновление мозгов юзера — к приимеру ставить ока Approved софт. Пруфы уязвимости оси (или программ входящих в ее состав по дефолту, типа "Браузер") к remote атакам в студию.
M>Ну и тут чуть более подробно: http://rsdn.ru/forum/flame.comp/4503548.1.aspxАвтор: kochetkov.vladimir
Дата: 19.11.11
Отличная ссылка. Список конкретных примеров "уязвимостей".
ios:
iPhoneOS.Ikee...This computer worm
spread over-the-air (for example, across cellular and Wi-Fi networks) to jailbroken iOS devices
iPhoneOS.Ikee.B.... This computer worm also
spread over-the-air to jailbroken iOS devices using the same SSH
default password attack used by iPhoneOS.Ikee
android:
Android.Geinimi... To distribute these threats, the attackers
obtained existing legitimate programs from the Android store, injected the malware logic into them and then
distributed these modified versions on third-party Android marketplace websites.
AndroidOS.FakePlayer... This malicious app masquerades as a media player application. Once installed...
...Итого — приведенные в статье андроидные малвары надо ставить с маркета а иосовские сами приходят к вам (правда тока в джэйлбрейкудные версии, но слова "same SSH default password" оченно доставляют
Здравствуйте, ononim, Вы писали:
B>>>«Это повышает уязвимость от любого вида атак»
B>>>[/q]
B>>>пруфы уязвимостей где?
M>>Рядом: http://rsdn.ru/forum/flame.comp/4502590.1.aspxАвтор: Mamut
Дата: 18.11.11
O>дык то малварь/спайвары которые ставить нуна. Обновление оси от них не поможет, тока обновление мозгов юзера — к приимеру ставить ока Approved софт. Пруфы уязвимости оси (или программ входящих в ее состав по дефолту, типа "Браузер") к remote атакам в студию.
M>>Ну и тут чуть более подробно: http://rsdn.ru/forum/flame.comp/4503548.1.aspxАвтор: kochetkov.vladimir
Дата: 19.11.11
O>Отличная ссылка. Список конкретных примеров "уязвимостей".
O>...Итого — приведенные в статье андроидные малвары надо ставить с маркета а иосовские сами приходят к вам (правда тока в джэйлбрейкудные версии, но слова "same SSH default password" оченно доставляют
Да, только проблема в том, что андроидная малваоь, которая ставится с маркета, может спокойно сама себе получить рута. Для получения малвари на iOS надо сначала самому сделать джейлбрейк.
А по андроиду смотрим
http://en.wikipedia.org/wiki/Android_version_history отмечаем любой апдейт с security update/fix. Саму информацию по тому, что они фиксят, вообще фиг найдешь (security by obscurity, я так понимаю?)
А про remote attack, например,
http://www.thisandroidlife.com/2011/03/after-malware-attack-google-retaliates-with-remote-kill/
the malware basically affects only those devices running on Android 2.2.1 and lower
Это было весной. Тогда же Samsung выпустил новый(!) телефон... с версией 2.2. Нормально, а чо.
O>>...Итого — приведенные в статье андроидные малвары надо ставить с маркета а иосовские сами приходят к вам (правда тока в джэйлбрейкудные версии, но слова "same SSH default password" оченно доставляют
M>Да, только проблема в том, что андроидная малваоь, которая ставится с маркета, может спокойно сама себе получить рута. Для получения малвари на iOS надо сначала самому сделать джейлбрейк.
Ой да ладно, получит малвар себе рута или нет уже не та уж важно.. Все равно что вас отымеют за углом с перезрвативом или без.. мм причем в случае ios мы этот презерватив с собой носим, причем прямо в заднице, специально на такой случай
M>А по андроиду смотрим http://en.wikipedia.org/wiki/Android_version_history отмечаем любой апдейт с security update/fix. Саму информацию по тому, что они фиксят, вообще фиг найдешь (security by obscurity, я так понимаю?)
Хрен с ними с апдейтами и теоретическими атаками. Смотрим на реальных малваров и используемые ими атаки. Кстати мне вот в голову идея пришла — что непроверяемый маркет андроида это очень даже круто с т.з. security-параноика. Парадокс? Think differet, как говорили Ла-Вей и Джобс
Итак, смотрим на мир с точки зрения разработчика малвары. Есть два больших рынка — андроид и макос. Есть ограниченные ресурсы (время, бабки на хакеров etc) с помощью которых надо создать новую малвару и поразить ею максимум девайсов. (Что делает малвара -пофиг). Что делает хакер — использует самые дешевые способы поражения андроидов и иос. В случае иос — использует дыры в девайсах, позволяющие заражаться по протоколом взаимодействия между ними или на крайняк через html (попробуй заманить всех юзеров на свой сайт — взлом сайтов и фишинг это отдельные задачи, так же требующие ресурсов). В случае андроида — самый простой способ — выложиь свой малвар на маркет. Это конечно не 100% распределение, но кажется мне что максимальное количество малваров под андроид будут распространяться через его маркет, а под иос — будут изыскиваься другие пути, ибо апликухи в его стор проверяються.
На выходе имеем парадокс — если не хотите заразиться под андроидом — не ставьте неизвестный софт с маркета, и тем самым вы обезопасите себя от максимума диких малваров нацеленных на андроид. В случае же с ios такого прямого пути резкого снижения риска зараженности диким малварами нету — ибо большинство диких малваров там пользуются другими, не подконтрольными юзеру путями заражения.
O>На выходе имеем парадокс — если не хотите заразиться под андроидом — не ставьте неизвестный софт с маркета, и тем самым вы обезопасите себя от максимума диких малваров нацеленных на андроид. В случае же с ios такого прямого пути резкого снижения риска зараженности диким малварами нету — ибо большинство диких малваров там пользуются другими, не подконтрольными юзеру путями заражения.
Никакого парадокса нет. Под iOS малвари нет, под Андроид есть. А виноват, с твоей точки зрения, почему-то пользователь, потому что, видители, не обезопасился
