digekas Δημοσ. 13 Δεκεμβρίου 2011 Δημοσ. 13 Δεκεμβρίου 2011 Μετά φυσικά αφού η είδηση που παραθέτεις αναρτήθηκε στις 21 Οκτωβρίου ενώ αυτή που αναφέρω στις 8 Νοεμβρίου. http://www.zdnet.com/blog/security/charlie-miller-on-android-vs-ios-security/9698 http://www.theverge.com/2011/11/8/2546435/researcher-who-exposed-an-ios-app-vulnerability-loses-his-developer Το τι λέει για το sandbox το άκουσες;;; Αμφιβάλω!!! Το ότι ο έλεγχος περνάει στον χρήστη και ότι αυτός είναι υπεύθυνος για όποια βλακεία γίνει;;; Αυτό μεταφράζεται ως πρόβλημα του λειτουργικού;;; To ότι είναι ένα walled garden και το ότι το τίμημα είναι ο εγκλεισμός δεν μας απασχολεί;;; Μάλλον όχι, τουλάχιστον όχι εσάς, αρκεί να μην σταλεί κάποιο sms αφού το κενό δεν έγινε από νωρίτερα γνωστό για να κλείσει!!! Τίποτα λοιπόν δεν είναι απόλυτα ασφαλές και ότι κλειδώνει ξεκλειδώνει απλά κάποια ξεκλειδώνουν δυσκολότερα για αυτό και λέμε ότι είναι και ασφαλέστερα, όχι απόλυτα ασφαλή, αυτό είναι αφελές, αλλά ασφαλέστερα. Λυπάμαι πραγματικά που θα σε απογοητεύσω αλλά μια χαρά γίνονται συζητήσεις στις ειδήσεις ιδιαίτερα με παλαιότερα μέλη που για κάποιο λόγο εδώ και πάρα πολύ καιρό είχαν ξεκόψει, οπότε η απουσία κάποιων όχι μόνο δεν έγινε αισθητή αλλά μπορώ να πω ότι αυτή η απουσία καλό έκανε τόσο στους ίδιους όσο και στους υπόλοιπους από την στιγμή βέβαια που η επιλογή ήταν δική τους. Α και να μην το ξεχάσω, τους θερμότερους χαιρετισμούς μου στο αφεντικό σου...
clav Δημοσ. 14 Δεκεμβρίου 2011 Δημοσ. 14 Δεκεμβρίου 2011 Mετά απ' αυτό ή πριν; http://www.zdnet.com/blog/security/charlie-miller-on-android-vs-ios-security/9698 Αφού σας αρέσει η επίκληση στην αυθεντία του Miller δες τι λέει για το Android. Αλλά να μου πεις χρόνια τώρα μας είχαν φάει τ αυτιά με σεντόνια για την ασφάλεια του Linux,τώρα γύρισε σε "όλα έχουν τρύπες και να μωρέ ξες τώρα,αφού δεν",στον να απορρίψετε ξαφνικά τον Miller 3 post πιο κάτω θα κωλώσεte; Χαίρομαι που ο miller συμφωνεί ότι το κατέβασε > εγκατέστησε ανοίγει δρόμο στο malware. Προσοχή, οι kernels φαίνεται πως είναι ασφαλείς σε remote exploits, δεν είμαστε όπως πριν 10 χρόνια. Το Linux / android / windows (kernel) / Mac (kernel) είναι 'ασφαλή', αλλά με jailbreak / rooted / admin συσκευές και μοντέλλο εγκατάστασης windows (κατέβασε / εγκατέστησε) θα υπάρχουν malware. Για αυτό βλέπεις οι ιοί κόβουν βόλτες με flash USB και σε τυχαία προγράμματα (π.χ. σπασμένα) που κατεβάζουν από το διαδίκτυο, αλλά όχι σε λειτουργικά που υπάρχει έστω και υποτυπώδης κεντρικός έλεγχος εγκατάστασης (π.χ. Apple store / Ubuntu) Αν τα android smartphones θέλουν να κρατήσουν το μοντέλο "κατέβασε > εγκατέστησε", θα πρέπει να χρησιμοποιούν by default άλλο χρήστη για τις "κατεβασμένες" εφαρμογές, χωρίς πρόσβαση σε προσωπικά δεδομένα εκτός και αν ο "σοφός" χρήστης απαιτεί να έχει η "κατεβασμένη" εφαρμογή πρόσβαση στα προσωπικά του δεδομένα. Κακώς έχουν κολήσει σε νοοτροπία ενός χρήστη. Αυτό θα έλυνε εύκολα τα προβλήματα ιδιωτικότητας (όχι τα botnets). (οποίος πατεντάρει αυτή τη ιδέα, χαμένος χρόνος, την χαρίζω στη Google για να μυνήει όλους τους άλλους.)
digekas Δημοσ. 14 Δεκεμβρίου 2011 Δημοσ. 14 Δεκεμβρίου 2011 http://www.youtube.com/watch?v=71UL9LIicTU
Nightstrike Δημοσ. 15 Δεκεμβρίου 2011 Δημοσ. 15 Δεκεμβρίου 2011 @digekas όπως υπάρχουν και πολλά άλλα. Η Miui προειδοποιεί για οποιοδήποτε app πάει να στείλει μήνυμα/πάρει κλήση ενώ υπάρχει και dedicated εφαρμογή στην Miui για πια apps έχουν πρόσβασει στο Wifi/3G. ΑΛΛΆ για όλλους τους άλλους υπάρχει το LBE Privacy Guard
digekas Δημοσ. 15 Δεκεμβρίου 2011 Δημοσ. 15 Δεκεμβρίου 2011 Δεν αντιλέγω απλά επειδή σε προηγούμενα ποστ αναφέρθηκα σε custom rom και πιο συγκεκριμένα στην CM για αυτό και παρέθεσα συγκεκριμένο video. Όλα συγκεκριμένα δλδ, αυτά τουλάχιστον ως προς τον επίλογο του #80, αφού σε φαντασιακό πλέον επίπεδο πολλοί δυσκολεύονται να αντιληφθούν και να συσχετίσουν το FOSS με το walled garden, με την κατάσταση που ζούμε και γενικότερα βιώνουμε εμείς αλλά και ολόκληρος ο πλανήτης. Ας ξεκινήσουν λοιπόν με κάτι "εύπεπτο" όπως η φαντασιακή θέσμιση της κοινωνίας του Κορνήλιου Καστοριάδη και αφού σκεφτούν και προβληματιστούν συζητάμε για το κόστος των επιλογών, τόσο στα λειτουργικά συστήματα αλλά κυρίως σε αυτά που υπολειτουργούν ή που έχουν πάψει πλέον να λειτουργούν.
Super Moderators billdanos Δημοσ. 15 Δεκεμβρίου 2011 Super Moderators Δημοσ. 15 Δεκεμβρίου 2011 Δεν αντιλέγω απλά επειδή σε προηγούμενα ποστ αναφέρθηκα σε custom rom και πιο συγκεκριμένα στην CM για αυτό και παρέθεσα συγκεκριμένο video. Όλα συγκεκριμένα δλδ, αυτά τουλάχιστον ως προς τον επίλογο του #80, αφού σε φαντασιακό πλέον επίπεδο πολλοί δυσκολεύονται να αντιληφθούν και να συσχετίσουν το FOSS με το walled garden, με την κατάσταση που ζούμε και γενικότερα βιώνουμε εμείς αλλά και ολόκληρος ο πλανήτης. Ας ξεκινήσουν λοιπόν με κάτι "εύπεπτο" όπως η φαντασιακή θέσμιση της κοινωνίας του Κορνήλιου Καστοριάδη και αφού σκεφτούν και προβληματιστούν συζητάμε για το κόστος των επιλογών, τόσο στα λειτουργικά συστήματα αλλά κυρίως σε αυτά που υπολειτουργούν ή που έχουν πάψει πλέον να λειτουργούν. Αντάξει, αφού έσκασε μύτη και ο Κορνήλιος εδώ, μπορώ να πω πλεον πως τα έχω δει όλα! Ολοκληρώθηκα! (μην το πάρεις προσωπικά, δεν έχω πρόβλημα με εσένα, ο Καστοριάδης απλά μου προκαλεί ...κάτι )
digekas Δημοσ. 15 Δεκεμβρίου 2011 Δημοσ. 15 Δεκεμβρίου 2011 Αντάξει, αφού έσκασε μύτη και ο Κορνήλιος εδώ, μπορώ να πω πλεον πως τα έχω δει όλα! Ολοκληρώθηκα! (μην το πάρεις προσωπικά, δεν έχω πρόβλημα με εσένα, ο Καστοριάδης απλά μου προκαλεί ...κάτι ) Όχι βρε, αλίμονο! Ε, μετά το αλφαβητάρι και την αριθμητική σε αντίστοιχου φανμποΐστικου ύφους thread και λίγο πριν (μετά???) τις διαγνώσεις (???) και τα ψυχοφάρμακα των τυχάρπαστων και "ψυχιάτρων", ε πάντα υπάρχει ένα μικρό περιθώριο, μία ανοχή, μία χάρη όπως την αποκαλούν, όχι για τίποτα άλλο, απλά για διερεύνηση στα πλαίσια πάντα της αμεροληψίας. Υ.Γ. Αυτά τα αποσιωπητικά πριν το "κάτι" και το χαρούμενο emoticon με την γλωσσίτσα έξω, μην σε προβληματίζει, όχι-όχι, μην σου περνάει από το μυαλό ότι μπορεί να είναι κάποιο (αντίστροφο/λανθάνον/υποβόσκον) φροϋδικό σύμπλεγμα, όχι-όχι μην το σκέφτεσαι καθόλου!!!
clav Δημοσ. 15 Δεκεμβρίου 2011 Δημοσ. 15 Δεκεμβρίου 2011 Σωστά, άντε και με antivirus. Το video digekas για μία ακόμη φορά άσχετο (όπως και ο Καστοριάδης). Η ρύθμιση της custom rom εκτός του ότι δεν είναι user friendly, είναι άσχετη με το θέμα, όπου η κακόβουλη εφαρμογή παίρνει δικαιώματα από άλλη εφαρμογή. Δηλαδή με custom rom μπορείς να αποκλείσεις την εφαρμογή από άμεση χρήση δικαιωμάτων αλλά όχι έμμεση. Μάντεψε. Η έρευνα αναφέρεται σε έμμεση παραχώρηση δικαιωματων, όχι σε άμεση. Γι' αυτό έγραψα πως μία εύκολη / πρόχειρη λύση είναι ο άλλος χρήστης, αφού δεν μπορείς να πάρεις δικαιώματα από άλλον χρήστη (τα γράφω πρόχειρα για να είναι κατανοητά) Τα κινητά - δυστυχώς - δεν έρχονται με vanilla android, οπότε το θέμα custom rom δεν αφορά τα 300.000.000 κατόχους κινητών Samsung, ούτε την είδηση. Καλύτερη και άμεση συμβουλή είναι να μην εγκαθιστά ο χρήστης εφαρμογές από ανέμπιστες πηγές, ακόμη και από το android market. Δυστυχώς η google μετατρέπει το android σε windows και εύχομαι να σταματήσει διότι έμμεσα καταστρέφει την "εικόνα" του μοναδικού εύχρηστου λειτουργικού που σου παρέχει ελευθερία (Linux).
digekas Δημοσ. 15 Δεκεμβρίου 2011 Δημοσ. 15 Δεκεμβρίου 2011 Σωστά, άντε και με antivirus. Το video digekas για μία ακόμη φορά άσχετο (όπως και ο Καστοριάδης). Η ρύθμιση της custom rom εκτός του ότι δεν είναι user friendly, είναι άσχετη με το θέμα, όπου η κακόβουλη εφαρμογή παίρνει δικαιώματα από άλλη εφαρμογή. Δηλαδή με custom rom μπορείς να αποκλείσεις την εφαρμογή από άμεση χρήση δικαιωμάτων αλλά όχι έμμεση. Μάντεψε. Η έρευνα αναφέρεται σε έμμεση παραχώρηση δικαιωματων, όχι σε άμεση. Γι' αυτό έγραψα πως μία εύκολη / πρόχειρη λύση είναι ο άλλος χρήστης, αφού δεν μπορείς να πάρεις δικαιώματα από άλλον χρήστη (τα γράφω πρόχειρα για να είναι κατανοητά) Τα κινητά - δυστυχώς - δεν έρχονται με vanilla android, οπότε το θέμα custom rom δεν αφορά τα 300.000.000 κατόχους κινητών Samsung, ούτε την είδηση. Καλύτερη και άμεση συμβουλή είναι να μην εγκαθιστά ο χρήστης εφαρμογές από ανέμπιστες πηγές, ακόμη και από το android market. Δυστυχώς η google μετατρέπει το android σε windows και εύχομαι να σταματήσει διότι έμμεσα καταστρέφει την "εικόνα" του μοναδικού εύχρηστου λειτουργικού που σου παρέχει ελευθερία (Linux). Για άλλη μια φορά, άσχετο είναι το κάθε τι στα μάτια του κάθε μή σχετικού, που είναι ή που και το παίζει σκόπιμα άσχετος όπου δεν τον συμφέρει, πάμε λοιπόν παρακάτω. Η είδηση αφορά τα κενά ασφάλειας που προέρχονται από το bloatware που έχουν βάλει οι εταιρίες και που αυτό έχει αφαιρεθεί στην CM αλλά και σε άλλες custom roms. Αυτό το bloatware άνοιγε τρύπες και όχι το λειτουργικό και αυτό μπορείς να το δεις στον πίνακα 2 που εκεί φαίνεται και ο αριθμός των εφαρμογών σε stock rom για την κάθε μία συσκευή, τσέκαρε και ποιες έχουν τα περισσότερα κενά. Βλέπω ότι επιμένεις στο θέμα του χρήστη ενώ σου ανέφερα σε προηγούμενο ποστ το θέμα του sandbox. Βλέπεις δεν ξέρεις ότι η κάθε εφαρμογή τρέχει με διαφορετικό user id για αυτό άλλωστε προτείνεις και να πατενταριστεί!!! http://source.android.com/tech/security/index.html#the-application-sandbox Λυπάμαι δυστυχώς που θα σε απογοητεύσω αλλά η είδηση με τον παραπλανητικό τίτλο: "Πρόβλημα ασφαλείας στο Android επιτρέπει σε κακόβουλους τρίτους να καταγράφουν τηλεφωνήματα" απευθύνεται σε όλους τους κατόχους συσκευών με λειτουργικό σύστημα android!!! Από εκεί και πέρα η είδηση ανεβαίνει στο forum προκειμένου να ενημερωθούν τα μέλη του και σε αυτό το πλαίσιο δίνονται οι απαντήσεις, το καλύτερο λοιπόν που έχουν να κάνουν τα μέλη είναι να ρίξουν μία ματιά προς CM μεριά και να επιλέξουν μία συσκευή που να υποστηρίζεται από την ίδια την κοινότητα και που ανεξάρτητα της παλαιότητάς της σε λίγο καιρό θα τρέχει ICS!!! Αυτή είναι η λύση και όχι η δήθεν απόκτηση υλικού από ασφαλείς πηγές αφού είδες τελικά τι έγινε με την εφαρμογή του Miller και το ίδιο ισχύει και στο linux (που παρεμπιπτόντως πρώτη εγκατάσταση και στην συνέχεια compilation του πυρήνα έκανα πρώτη φορά μέσα προς τέλη της δεκαετίας του 90) με τα αποθετήρια πόσο μάλλον με τα ppa, που και εκεί σε κάθε σοβαρή εγκατάσταση θα πρέπει οι εφαρμογές να τρέχουν με ένα προκαθορισμένο προφίλ τύπου AppArmor.
Super Moderators paredwse Δημοσ. 16 Δεκεμβρίου 2011 Μέλος Super Moderators Δημοσ. 16 Δεκεμβρίου 2011 Μάλιστα. Συνεπώς για τα προβλήματα ασφαλείας του Android φταίνε οι χρήστες των συσκευών που δεν έχουν βάλει custom rom. Και όχι το λειτουργικό που επιτρέπει σε τρίτους να επεμβούν έτσι ώστε εφαρμογές να αποκτούν πρόσβαση όπου θέλουν. Και η είδηση έχει παραπλανητικό τίτλο γιατί το πρόβλημα ασφαλείας στο Android απευθύνεται σε όλους τους κατόχους συσκευών που τρέχουν Android. Οπότε θα έπρεπε να επιγράφεται "Πρόβλημα ασφαλείας όχι στο λειτουργικό Android αλλά στους χρήστες Android που δεν επεμβαίνουν στη συσκευή τους". Το διαβάσαμε κι αυτό...
digekas Δημοσ. 16 Δεκεμβρίου 2011 Δημοσ. 16 Δεκεμβρίου 2011 Μάλιστα. Συνεπώς για τα προβλήματα ασφαλείας του Android φταίνε οι χρήστες των συσκευών που δεν έχουν βάλει custom rom. Και όχι το λειτουργικό που επιτρέπει σε τρίτους να επεμβούν έτσι ώστε εφαρμογές να αποκτούν πρόσβαση όπου θέλουν. Και η είδηση έχει παραπλανητικό τίτλο γιατί το πρόβλημα ασφαλείας στο Android απευθύνεται σε όλους τους κατόχους συσκευών που τρέχουν Android. Οπότε θα έπρεπε να επιγράφεται "Πρόβλημα ασφαλείας όχι στο λειτουργικό Android αλλά στους χρήστες Android που δεν επεμβαίνουν στη συσκευή τους". Το διαβάσαμε κι αυτό... Ωχ, πέρα από το video τώρα θα αρχίσω να μετράω και πόσες φορές έβαλα τους πίνακες... Πρώτον, πουθενά στην είδηση δεν είδαμε εφαρμογές να αποκτούν πρόσβαση όπου θέλουν, μην συνεχίζετε τις ανακρίβειες. Δεύτερον, η είδηση αφορά έρευνα που έγινε σε συγκεκριμένες συσκευές, συγκεκριμένων εταιριών. Η γενίκευση λοιπόν του τίτλου που τσουβαλιάζει όλες τις συσκευές όλων των εταιριών και μάλιστα αναφέροντας το θέμα της καταγραφής τηλεφωνήματος όταν αυτό αφορούσε συγκεκριμένα μοντέλα συγκεκριμένης εταιρίας μόνο είναι παραπλανητικός (το λιγότερο). Get your facts right! Τρίτον, προφανώς και κανείς δεν κατηγορεί τους χρήστες για την μη χρήση custom rom. Πολλοί είναι πολύ λογικό να μην το ξέρουν καν ότι έχουν μία τέτοια επιλογή. Για αυτό και έγινε και γίνεται αναφορά αφού η είδηση εκείνους αφορά όχι για να τους τρομοκρατήσει ή για να δημιουργηθούν αρνητικές εντυπώσεις αλλά για να μάθουν πως είναι με custom rom ασφαλέστερη η συσκευή τους (και προφανώς όχι μόνο, αφού έχουν γίνει βελτιστοποιήσεις). Δεν μας απάντησες όμως, την είδηση που αφορούσε το κενό ασφάλειας που έδειξε ο Miller το γνώριζες; Θα το ανέβαζες ως είδηση ώστε να υπάρξει αντίστοιχη ενημέρωση;
clav Δημοσ. 16 Δεκεμβρίου 2011 Δημοσ. 16 Δεκεμβρίου 2011 Digekas, η πρόταση σου για custom rom είναι άσχετη και άχρηστη, αφού η είδηση αφορά προχειρογραμμένες εφαρμογές που παραχωρούν δικαιώματα. Δηλαδή και με custom rom θα την πατήσεις. Η λύση είναι να μην εγκαθιστά ο χρήστης ότι να 'ναι προγράμματα. Αφού θες το καλό των χρηστών, περίμενα να ενημερώσεις πως η google δεν ελέγχει αξιόπιστα τις εφαρμογές. Οπότε και με custom rom δεν είσαι ασφαλής. http://www.bbc.co.uk/news/technology-16177013 Όσον αφορά το sandbox (και αφού γνωρίζεις) περιμένω να μας ενημερώσεις πως κατέφερε το woodpecker στην έρευνα να πάρει δικαιώματα από άλλους χρήστες. Δεν πρότεινα κάθε process και άλλος χρήστης, πρότεινα οι κατεβασμένες εφαρμογές να πάνε σε χρήστη χωρίς δικαιώματα και χωρίς πρόσβαση σε εφαρμογές άλλου χρήστη. Το link που παρέθεσες δεν αναφέρει αυτό. Λέει ότι υπάρχει η δυνατότητα να ασφαλίσεις την εφαρμογή σου, μόνο που οι προχειρογραμμένες εφαρμογές της έρευνας και τα malware που ξέφυγαν από την google δεν ενδιαφέρονται για ασφάλεια (το αντίθετο). Περάσαμε τα 100 μηνύματα οπότε δεν ελπίζω να μάθω κάτι χρήσιμο ή να δώσεις σωστή συμβουλή.
Nightstrike Δημοσ. 16 Δεκεμβρίου 2011 Δημοσ. 16 Δεκεμβρίου 2011 Τίτλος: "Πρόβλημα ασφαλείας στο Android επιτρέπει σε κακόβουλους τρίτους να καταγράφουν τηλεφωνήματα" Πρόταση: "Κενό ασφαλείας σε κάποιες συσκευές android από το bloatware των κατασκευαστριών εταιριών" Μέσα στο θέμα: 1) Προσοχή όταν κατεβάζεται apps, δείτε comments/ratings 2) Υπάρχουν apps τα οποία δεν είναι επικίνδυνα αλλά μπορεί να μην τα εμπιστεύεστε να έχουν πρόσβαση στο internet/sms. Μπορείτε να κατεβάσετε το LBE Privete Guard και να τα περιορίσετε στον βαθμό που θέλετε. 3) Εάν ανησυχείτε πολύ μπορείτε να κοιτάξετε για custom rom android τα οποία δεν έχουν bloatware. digekas μην παρεξηγείς τον peradwse, δεν έφτιαξε το άρθρο, απλά το αντέγραψε στο forum, άσε που πάντα μπορεί να κάνει edit το αρχικό με αυτές τις προσθήκες, καθώς και κανένα πινακάκι για να δούμε σε πια κινητά αναφερόμαστε...
digekas Δημοσ. 17 Δεκεμβρίου 2011 Δημοσ. 17 Δεκεμβρίου 2011 Digekas, η πρόταση σου για custom rom είναι άσχετη και άχρηστη, αφού η είδηση αφορά προχειρογραμμένες εφαρμογές που παραχωρούν δικαιώματα. Δηλαδή και με custom rom θα την πατήσεις. Η λύση είναι να μην εγκαθιστά ο χρήστης ότι να 'ναι προγράμματα. Αφού θες το καλό των χρηστών, περίμενα να ενημερώσεις πως η google δεν ελέγχει αξιόπιστα τις εφαρμογές. Οπότε και με custom rom δεν είσαι ασφαλής. http://www.bbc.co.uk/news/technology-16177013 Όσον αφορά το sandbox (και αφού γνωρίζεις) περιμένω να μας ενημερώσεις πως κατέφερε το woodpecker στην έρευνα να πάρει δικαιώματα από άλλους χρήστες. Δεν πρότεινα κάθε process και άλλος χρήστης, πρότεινα οι κατεβασμένες εφαρμογές να πάνε σε χρήστη χωρίς δικαιώματα και χωρίς πρόσβαση σε εφαρμογές άλλου χρήστη. Το link που παρέθεσες δεν αναφέρει αυτό. Λέει ότι υπάρχει η δυνατότητα να ασφαλίσεις την εφαρμογή σου, μόνο που οι προχειρογραμμένες εφαρμογές της έρευνας και τα malware που ξέφυγαν από την google δεν ενδιαφέρονται για ασφάλεια (το αντίθετο). Περάσαμε τα 100 μηνύματα οπότε δεν ελπίζω να μάθω κάτι χρήσιμο ή να δώσεις σωστή συμβουλή. Η είδηση αφορά προεγκατεστημένες εφαρμογές από τις ίδιες τις εταιρίες στις stock roms τους. Αυτές οι εφαρμογές έχουν αφαιρεθεί στην CM για αυτό και εκεί δεν υπάρχουν αυτά τα κενά ασφαλείας. Το τι θεωρείς λοιπόν άσχετο και άχρηστο είναι άποψή σου την οποία και προφανώς όσοι αντιλαμβάνονται τι λέμε δεν συμμερίζονται. Η λύση λες είναι να μην εγκαθιστά ο χρήστης ότι να ναι προγράμματα... Για αυτό το λόγο έκανα αναφορά στον Miller, γιατί και εκεί που υποτίθεται γίνεται έλεγχος τελικά είδαμε τι μπορούσε να γίνει, για αυτό και εκείνο το video προφανώς και δεν ήταν άσχετο με την είδηση που συζητάμε. Όπως θα είδες σε video που έδωσα στην CM μπορεί κάποιος να εγκαταστήσει μία εφαρμογή η οποία απαιτεί πρόσβαση που όμως εμείς κρίνουμε ότι δεν είναι απαραίτητο να έχει, οπότε και μέσω της CM μπορούμε να τρέξουμε την εφαρμογή αφαιρώντας της όμως την δυνατότητα αυτή. Αν φίλτατε περιμένεις η custom rom να σε προστατέψει από εφαρμογή που σου ζητάει πχ να γράψεις και να στείλεις ο ίδιος τα στοιχεία των τραπεζικών σου λογαριασμών, μάλλον το πρόβλημα δεν έχει να κάνει με την rom της συσκευής. Το τι έχει ανέβει και κατέβει κατά καιρούς στα διάφορα store/markets έχει συζητηθεί πιστεύω επαρκώς, μην λέμε συνέχεια τα ίδια. Σε ότι αφορά τώρα το sandbox κακώς περιμένεις από εμένα να σου πω πως έγινε η ανάλυση. Υπάρχει το pdf στο πρώτο ποστ. ... Specifically, to expose explicit leaks of a capability, our system first locates those (pre-loaded) apps in the phone that have the capability. For each such app, our system then identifies whether a public interface is exposed that can be used to gain access to it. (This public interface is essentially an entry point defined in the app’s manifest file, i.e., an activity, service, receiver, or content provider.) In other words, starting from some public interface, there exists an execution path that can reach some use of the capability. If this public interface is not guarded by a permission requirement, and the execution path does not have sanity checking in place to prevent it from being invoked by another unrelated app, we consider the capability leaked. ... On the other hand, implicit capability leaks arise from the abuse of an optional attribute in the manifest file, i.e., “sharedUserId.” This attribute, if defined, causes multiple apps signed by the same developer certificate to share a user identifier. As permissions are granted to user identifiers, this causes all the apps sharing the same identifier to be granted the union of all the permissions requested by each app. To detect such leaks in an app that shares a user identifier, our system reports the exercise of an unrequested capability, which suspiciously has been requested by another app by the same author. ... Ως προς αυτό που πρότεινες να σου εξηγήσω γιατί δεν στέκει. Στο μυαλό σου έχεις το μοντέλο που υπάρχει στο linux (και όχι μόνο) όπου όταν κάποια εφαρμογή ζητά super user privileges η δυνατότητα που υπάρχει είναι είτε να σταματήσεις την εφαρμογή, είτε να δώσεις το password του super user για να συνεχίσει. Σε ένα σύστημα λοιπόν που συνυπάρχουν πολλοί χρήστες και δεν έχουν όλοι τα ίδια δικαιώματα εκεί ο διαχειριστής παραχωρεί στον κάθε ένα τα δικαιώματα που χρειάζεται κυρίως για την ασφάλεια του συστήματος (δλδ των υπολοίπων χρηστών). Αν εφαρμοζόταν ένα τέτοιο σύστημα στο Android, σε ένα λειτουργικό που προορίζεται για χρήση σε προσωπικό τηλέφωνο θα έπρεπε να υπάρχει ένας μεγάλος αριθμός χρηστών που να συνδυάζουν διάφορα δικαιώματα (privileges) αφού κάποιες εφαρμογές προφανώς και θα ήθελε ο χρήστης να μπορούν να δουν τα δικά του προσωπικά στοιχεία. Ποια λοιπόν η λογική να επιλέγεις user ανάλογα με τα δικαιώματα που έχει για να τρέξει μία εφαρμογή και να μην περιορίζεις απευθείας τα δικαιώματα, γιατί αυτό γίνεται στην CM που ανέφερα. Υπάρχει ένα ενδεχόμενο κάποια να μην τρέξει με περιορισμένα δικαιώματα και εκεί είναι θέμα υλοποίησης το να της δίνει το δικαίωμα αλλά τα δεδομένα που παίρνει να είναι πλασματικά και όχι τα πραγματικά του χρήστη αλλά και πάλι από την μεριά της εφαρμογής θα μπορούσε να γίνει έλεγχος κατά πόσο αυτά είναι πραγματικά από συγκρίσεις που έχουν ήδη γίνει και αυτό από την άλλη θα μπορούσε να παρακαμφθεί από ένα έξυπνο randomizer, αλλά γενικά η όλη σκέψη ξεφεύγει. Αν δεν εμπιστεύεσαι την εφαρμογή λόγω των permission που ζητάει, την εγκαθιστάς αφαιρώντας της αυτά που θεωρείς ότι κακώς απαιτεί. Αν τρέχει έχει καλώς, αν δεν τρέχει τότε αναζητάς άλλη εφαρμογή για να κάνεις την δουλειά σου. Αυτά τουλάχιστον σε ότι αφορά το λειτουργικό και τις εφαρμογές γενικά, το τι bloatware έχει βάλει η κάθε εταιρία και τι κενά έχει αυτό δημιουργήσει είναι το θέμα και για αυτό προφανώς και δεν ευθύνεται το λειτουργικό. Η λύση λοιπόν σε ένα χώρο όπου υπάρχουν πολλές εταιρίες άρα και ανταγωνισμός για αυτό και υπάρχουν τόσες συσκευές για να επιλέξουμε αλλά κυρίως επιλογή ως προς την τιμή, η λύση λοιπόν είναι η αγορά μίας συσκευής η οποία θα υποστηρίζεται από την ίδια την κοινότητα, ώστε το πολλαπλάσιο δυναμικό και ώρες που μπορεί να προσφέρει η κοινότητα να βελτιώσουν τόσο το λειτουργικό όσο και να το βελτιστοποιήσουν σε κάθε μία συσκευή ξεχωριστά κάτι που έτσι και αλλιώς θα στοίχιζε στις εταιρίες χώρια που εκείνες θέλουν να πωλούν νέο hardware οπότε και η υποστήριξη (πόσο μάλλον η βελτιστοποίηση) των νέων εκδόσεων του λειτουργικού θα περιόριζε τις πωλήσεις νέων συσκευών, λέγοντάς σου, αν θέλεις το νέο λειτουργικό, να τρέχει γρήγορα και ομαλά, πάρε νέα συσκευή, όταν όμως εσύ δεν έχεις ανάγκη το γρηγορότερο hardware, αλλά θέλεις τις νέες δυνατότητες του λειτουργικού, μετά την επίσημη υποστήριξη της εταιρίας βρίσκεσαι ξεκρέμαστος και εκεί έρχονται να δώσουν λύση οι custom roms και η κοινότητα, καλύπτοντας τα όποια κενά ασφάλειας μπορεί να έχουν ανακαλυφθεί και διορθωθεί στις επόμενες εκδόσεις του λειτουργικού (αφού πάντα υπάρχει ένα τέτοιο ενδεχόμενο παντού, τα περί αφέλειας που έλεγα σε προηγούμενα ποστ). Nightstrike, για να μην υπάρχουν παρεξηγήσεις γίνονται οι ερωτήσεις και ζητούνται οι εξηγήσεις. Όταν όμως οι ερωτήσεις επαναλαμβάνονται και παραμένουν αναπάντητες, δεν νομίζω ότι τίθεται θέμα παρεξήγησης, μια χαρά ξεκάθαρα είναι τα πράγματα, αυτά τουλάχιστον ως προς τις παρερμηνείες αφού σε προσωπικό επίπεδο προφανώς και δεν υπάρχει κάποια παρεξήγηση, για αυτό και συνεχίζω και στέλνω φιλικούς χαιρετισμούς σε όλους, ανεξάρτητα αν όλοι δεν τους δέχονται, εξάλλου για αυτό δεν μπορώ να κάνω κάτι περισσότερο από το να εξηγώ ότι άλλο πράγμα η διαφωνία με ένα συνομιλητή που όσο και αν διαφωνούμε με την άποψή του, το δικαίωμα να την εκφέρει είναι απόλυτα λογικό, όποιος και αν είναι αυτός, και άλλο πράγμα η μεροληψία και η επιλεκτική αντιμετώπιση μελών/ειδήσεων/κλπ (αδικία δλδ) από αυτούς που έχουν περισσότερα δικαιώματα άρα και υποχρεώσεις. Είναι δυο τελείως διαφορετικές καταστάσεις που δυστυχώς όμως η μία χρησιμοποιείται ως προκάλυψη της άλλης και επειδή αυτό μπορεί να χρησιμοποιηθεί ένθεν κακείθεν για αυτό πρότεινα να ανεβάσει την είδηση του Miller αλλά και αντίστοιχα να αντιμετωπίζονται όλα τα μέλη και όχι να παραμένουν επί μακρόν ορατά τα ποστ με τα οποία συμφωνούμε και τα οποία προσβάλλουν και γενικότερα είναι κατάπτυστα μόνο και μόνο για να δημιουργούνται εντυπώσεις, ενώ από την άλλη πλευρά τα ποστ των "άλλων" διαγράφονται εν ριπή οφθαλμού και τα μέλη γίνονται με συνοπτικές διαδικασίες ban. Αυτή ήταν η ακολουθούμενη τακτική για αυτό και υπήρχε και υπάρχει (πλέον μειωμένος λόγω των επιχειρημάτων και της κριτικής, τουλάχιστον αυτό θέλω να πιστεύω) αυτός ο έντονος fanboyσμός. Επίσης το θέμα δεν είναι το τι γράφουμε μόνο εμείς οι ίδιοι αλλά και το τι επιλέγουμε να μεταφέρουμε, αλλά αυτά έχουν ξαναειπωθεί και προφανώς, αλίμονο και ευτυχώς όχι μόνο από εμένα, τα περί αμεροληψίας της ίδιας της είδησης αυτής καθεαυτή για αυτό άλλωστε και οι επεξηγήσεις και οι αναρτήσεις των πινάκων του paper από όπου και "δημιουργήθηκε" η είδηση και όπως προείπα σε προηγούμενο ποστ δεν είναι η πρώτη φορά που συμβαίνει για αυτό και καταλογίζω σκοπιμότητες.
clav Δημοσ. 18 Δεκεμβρίου 2011 Δημοσ. 18 Δεκεμβρίου 2011 Digekas η απάντηση ήταν / είναι aidl και οι προχειρογραμμένες εφαρμογές που δεν είναι μόνο οι προεγκατεστημένες. http://developer.android.com/guide/developing/tools/aidl.html Τσάμπα το off topic σεντόνι. Ακόμη δεν κατάλαβες ότι η εφαρμογή δεν θα ζητάει από τον χρήστη δικαιώματα (για αυτό προτείνεις custom rom) αλλά έν αγνοία του θα τα παίρνει από άλλες εφαρμογές. Ούτε με custom rom είσαι καλλυμμένος, αλλά διαχρονικά και σε όλα τα λειτουργικά, πρέπει να εγκαθιστάς σοβαρές εφαρμογές. Κατάλαβα ότι η έρευνα δεν σας πείθει επειδή έπρεπε να δοκιμάσουν όλες τις εφαρμογές του market και όλα τα κινητά android (!!). Ομολογώ πως έχετε απόλυτο δίκιο και θα προτείνω σε όσους έχουν android να βάλουν custom rom αντί να προσέχουν τί εγκαθιστούν. Είμαι σίγουρος πως δεν θα έχουν απορίες, θα τους είναι κατανοητό, εφικτό, εύκολο και... ασφαλές. (και μετά απορούν πως ο jobs τα "κατάφερε") [ignore]
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα