Proponha uma correção, faça uma sugestão
Google Corrige vulnerabilidade grave apontada pela Bluebox
A Google foi expedita a corrigir uma falha que atingia 99% dos smartphones com Android. Conforme demos a conhecer, esta falha existia efectivamente e a Google tinha conhecimento da mesma já há algum tempo. No entanto, só depois da pressão imposta pela explicação da empresa de segurança, que deu a conhecer com detalhe o modus operandi do aproveitamento da vulnerabilidade é que a Google se mexeu.
Esta vulnerabilidade, conforme se pode ler na ZDNet, publicação para a qual a Google admitiu ter já solução para resolver a vulnerabilidade, o problema é grave:
This security vulnerability is in how Android applications are verified and installed. Each application has a cryptographic signature, to ensure that the contents of an application have not been tampered with. The security hole, however, enables attackers to change the contents of an application while leaving the signature intact.
Quer isso dizer que todos os equipamentos poderiam estar à mercê desta vulnerabilidade, o sistema operativo Android padece efectivamente de uma falha de segurança que permite que o código-fonte dos pacotes de instalação das apps possa ser alterado sem que a assinatura criptografada seja comprometida. Esta alteração permite efectivamente colocar malware numa app sem que esse malware seja detectado. Depois de instalada essa app e, dependendo da sua acção dentro do smartphone, o utilizador poderia ver o seu sistema ser tomado por completo.
A Google deixou claro à ZDNet que o problema existe e que já tem uma solução. Essa solução foi já disponibilizada aos fabricantes para que estes possam introduzir numa futura actualização do firmware do equipamento. A Samsung, por exemplo, já está a trabalhar para que esta actualização chegue aos seus clientes.
De forma a tranquilizar os utilizador, Gina Scigliano, porta voz da Google, é pragmática a desdramatizar a situação e declara que:
"We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue - and Verify Apps provides protection for Android users who download apps to their devices outside of Play."
Basicamente afirma que a falha apontada pela Bluebox não teve evidências de malware nem da Google Play nem noutras app Stores, monitorizadas por ferramentas de segurança da própria Google.
Esta vulnerabilidade permite acesso a diferentes tipos de informação, segundo informou a Bluebox, isto dependendo do níveis de permissão a que tem acesso o hacker. As apps mais susceptíveis de sofrerem desta vulnerabilidade são as de propriedade dos fabricantes, pois são estes que detêm total permissão sobre as apps.
O passo seguinte, o de actualização, será determinante, agora que todos os intervenientes já conhecem o que está em jogo. É importante que sejam rápidos mesmo nos smartphones mais antigos.
Este artigo tem mais de um ano
Loading ...
Problema disto tudo é que grande parte dos smartphones não vão ver a luz desta correcção, já que o suporte a modelos mais antigos é nulo por parte de algumas marcas/operadoras.
É mesmo este o problema. 80% ou mais de equipamentos que são vendidos actualmente nunca vão ver esta actualização!! E nem estou a falar dos mais antigos que já andam nas mãos do pessoal!!
Podem sempre desponibilizar um uniPatch para todos os androids, nada de mais.
Nunca existiu nem nunca existira tal “UNIPATCH” nem antes nem mesmo depois dessa bomba no rabo do (GOOGLE) ANDROID, Atualização sempre foram e sempre serão o calcanhar de Aquiles do ANDROIDO, a fragmentação da plataforma é tão grande e tantos contratos com operadoras de telemóvel, que fazem suas personalizações no ANDROID para depois vender os telemóveis que é simplesmente IMPOSSÍVEL manter atualização para cada modelo de aparelho e versão de sistema em funcionamento, principalmente os mais antigos.
“A Google deixou claro à ZDNet que o problema existe e que já tem uma solução. Essa solução foi já disponibilizada aos fabricantes para que estes possam introduzir numa futura actualização do firmware do equipamento. ”
Mas que artigo tão cândido.
infelizmente é a estratégia de marketing existente, deixa-se de dar suporte aos aparelhos mais antigos, com menos vendas ou com versões de software mais antigas para que o utilizador se veja “incentivado” a adquirir um novo, a custo acessível, para poder usufruir de uma versão de software mais recente e em alguns casos com hardware igual ou até pior que o do aparelho anterior
Querias que um equipamento de 150€ tivesse o mesmo suporte que um de 500€? As pessoas têm que se começar a mentalizar que usar custom rom e tao fácil como crackar um jogo…
Vai lá perguntar a 90% da população (ou mais) para te dizerem como colocar um crack num jogo, que vais ver as respostas…
No universo do Google Play, deve ser uma mínima, quase nula, percentagem de apps maliciosas, que tira proveito desta falha.
Já as aplicações chinesas, e agora coreanas, continuam a roubar dados à luz do dia, com um excesso de permissões que até mete dó, para uma app de chat, seria suficiente acesso à net e pouco mais, mas não… GPS, Logs, chamadas, etc…
Quando começam a controlar isto?!?!
Para quando filtros por países? Quero filtrar e ver apenas apps tugas, ou de qualquer país excepto M*RD* chinesa 🙂 🙂
Um bom exemplo, uma aplicação de chat aleatório:
Excesso de permissões, guarda dados num servidor coreano, envia mais dados do que necessário, o programador alega ser americano, o que é falso, a mesma base do programa serve para mais outros 2, etc, etc…
Vantagens dos APK e da eng. reversa 😉
E já que estamos numa de filtros, se alguém me puder dizer como posso descartar resultados de músicas no market agradecia 🙂 🙂
Por um lado percebo o que dizes mas se pensares nos programadores acho que nao iam achar piada poder mos filtrar países porque isso ia lhe tirar muito mercado as suas app’s…
Quanto as permissões tbm percebo a tua indignação, mas normalmente isso e usado para perceber em que se pode melhorar uma app… As app no ios teem ainda mais permissões, a questao e que a apple e muito mais rígida a aceitar apps na sua store e a google devia seguir esse método…
Quanto a ultima pergunta quando fazes uma pesquisa no market aparece os resultados agrupados em musicas livros jogos e apps e so clicar no que te interessa…
Até posso perceber o teu lado, mas em 100 apps chinesas, se 20 forem legítimas, não forem clones de outras, e tiverem algum objectivo fico surpreendido 😉
PArece que não percebeste o que é que envolvia este problema! Ele permitia que fosse introduzido código em qualquer aplicação, software assinado deixava de ser sinónimo de confiança! Por isso tanto faz donde é que vinha, a única forma de minimizar isto era usar a loja da Google e só instalar directamente da loja em redes de confiança!
Deixa ver se me explico melhor…
Estou a par do problema, mesmo antes de ser colocado aqui.
A minha questão / crítica é:
Mais depressa fazes uma app manhosa e colocas no Google Play, e possívelmente muita gente vai instalar sem olhar às permissões do que:
– Fazer download de uma app legitima
– Aplicar a exploit
– Fazer upload para algum fórum ou site
– Aguardar que alguém faça o download de lá, ao invés do G.Play.
Se fosses alguém que quisesse espalhar malware/spyware, qual dos métodos escolhias?!
Fui mais claro agora?!
Considerando que a maior parte do malware/spyware é instalado por alguma variação do segundo método (fora da loja da Google), creio que parece bastante claro!
E é um método que encaixa bem na “engenharia social” ao apresentar algo que parece legítimo, melhor até, pois é legítimo, apenas esconde algum código ilegítimo!
Se um determinado equipamento tem as características exigidas para a utilização de uma versão mais recente de SO… Qual é o problema? A garantia? Deixem-na expirar ou arrisquem. O problema reside é naqueles equipamentos cujo upgrade do SO é impossível…
Ora aí está aquilo que infelizmente é o calcanhar de Aquiles dessa grande vantagem para todos que é o software livre. É que existem dispositivos Android em tudo o que é sítio. Até devem haver máquinas de lavar roupa com Android lá metido.
E é triste que a Google nunca tenha conseguido meter mão nisto.
Então toda a gente usar Android e uma desvantagem? Explica la com chegas te a uma conclusão dessas…
Por sorte os fansboys da Apple têm estado cheios de calor para reagirem. Senão tinha sido o bom e o bonito… O Android e segurança não estão tão de mãos dadas assim…
Os alegados fanboys Apple aparentemente preocupam-se pouco com o Android…
Abc
Com esta, as ações da Bluebox já duplicaram na bolsa… :):):)
🙂 🙂 🙂
duvido….se ela corrigiu, deve ter mais outra pior.
google enqnto usar nome de palhaço no sistema, opa, pseudosistema dela, jamais sera séria.
eu parei com android no meu sg4, não compro mais nada com android.
Talvez a melhor solução seja o root, ou exclusão das marcas de electrodomesticos/operadoras de xaxa.
Apple Fanboy alert!
Tu nem sabes o que quer dizer jellybean quanto mais fazer ideia do que tas a escrever…
Eu tenho iphone desde o 3G, nunca comprei um iphone novo, compro sempre em segunda mão, o 3G, o primeiro foi-me oferecido, tinha o lcd e touch partidos, e eu sou desenrascado, e comprei as peças e troquei e fiquei com uma excelente máquina na altura, hoje tenho o 4, e daqui a uns meses vou ter o 5, tenho comprado em segunda mão a uma pessoa que mos vende depois de os usar por um ano, comprei um tablet android, chinês, que até uma excelente maquina nos benchmarks, mas passa o tempo todo a crashar, alem de estar bloqueado no 4.1.4, não existe rooms, ou seja, estou bloqueado, não percebo nada de android, de iphone e jailbreak, é facil, canja, sem duvida, e o mais importante, mesmo que algumas coisas corram mal, o sistema nunca crasha, o android, crasha, sabe-se la porque razões, muito sinceramente, vou despachar o meu tablet, e vou comprar um ipad mini, esse, independente de todas as porcarias que possa fazer, trabalha sempre, não digo que o android não funcione, eu é que não sei. Eu por mim, metia o ios no tablet, ficava com o melhor de dois mundos, um sistema porreiro, e um tablet equilibrado a nivel de hardware. Mas não posso ter o melhor de dois mundos. Já fiz hackintosh ao meu toshiba Qosmio F50, mas não gostei, tenho o Lion numa VMware. Isto é meramente uma opinião de uma pessoa que não tem dinheiro para os brinquedos da apple, mas os aprecia, e sempre que a minha carteira permite, compro um, o Tablet, pelo preço que foi, tinha metido mais uns tostoes e tinha ido buscar um ipad, mas a razao porque comprei o tablet, leva cartao, tem saida hdmi, tem portas usb, algo que o ipad não tem. Melhor de dois mundos para mim, meterem o ipad com saida hdmi, uma porta usb, já nem peço entrada para cartão, basta entrada usb. Mas é a minha opinião, nada mais que isso.
desculpa, achas que faz algum sentido comparar um tablet dos chineses com um ipad? é claro que quando comprares o ipad vais ficar maravilhado em comparação ao que tens, e depois vais dizer que android é isto e aquilo, como tu muita gente… comparem equipamentos da mesma gama, e vêm que os android de topo proporcionam uma experiência fantástica…
Compras um android chinês sem marca e ficas admirado que crashe ?
Coisas baratas é que dá … nao se admirem de crashar
Não comparem Ipad com Android Chines [ 50 € ].
Boas tablets a media de preços é de 200 € acima
Tive um sony Tablet [ muito bom ] vendi
Agora tenho um sansung Galaxy Tab 7 [ roteada ] com 32 GB =)
abc