Quantcast
PplWare Mobile

Falha grave no 4G afecta todos os smartphones Android

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Paulo says:

    Se as apps aparecerem no windows 10 mobile o android deixa de fazer sentido pois era o “windows dos tlms” mas agora ha um verdadeiro windows e o android passou a “SO dos tlms chineses com virus e sem suporte”

    • Carlos Gomes says:

      O que diz, além de preconceituoso, não faz sentido. Na verdade, o Wimdows Mobile será até menos seguro, só que o Android é neste caso mais atacado por ser a plataforma dominante do mercado. Mas o que é aqui descrito, apesar da Apple dizer que não ocorre no iOS (faltará talvez comprovação independente deste facto), pode facilmente ocorrer noutros SO móveis, nomeadamente porque a falha descrita recorre nomeadamente a tráfego SIP/IP. Por isso, a afirmação que faz não tem sentido real.

    • jose says:

      algumas nao todas……….e agora o Android faz ainda mais sentido…….pois pode ser colocado em todas as faixas de preços….ja o IOS é para ou quem é rico ou quem é louco ou quem se quer armar…………….pois eu nao vejo Ios em smartpones de 100 euros de 50 euros…………..

      • Baptista Batos says:

        Por estar em telemóveis baratos, não quer dizer que tenha de ser inseguro, cheio de bugs, sem resolução!

        Compras um PC Windows de 300€, ou de 30.000€, e tens a mesma segurança!

    • Anónimo says:

      Tem toda a lógica!
      Vou já a correr comprar um WP para correr as apps do Android, não poder mudar a porra das tiles para um launcher decente (olha, como o que a própria Microsoft disponibilizou para o Android) e ainda por cima, como se a política de privacidade da Google não fosse suficientemente má, vou-me meter numa companhia que acabou de se reinventar como “Super-Google v2.0”.

      É que é já a seguir!

  2. Pedro says:

    Há algum site onde se possa ver uma lista de todas as vulnerabilidades? Ou a Pplware quer fazer isso? Pergunto porque Android, iOS e WP têm vulnerabilidades [graves] todos os dias, semanas, ou, pelo menos, meses. E isto não é uma crítica aos sistemas operativos. Estou a querer saber quais são as falhas que existem [e porquê], todas num mesmo lugar.

      • Melo says:

        Ou seja, essa lista não tem nada a ver com a realidade, ou teria pelo menos esta falha!

      • Benchmark do iPhone 6 says:

        /o-o/

        Isso são as vulnerabilidades publicadas em 2015 do Android 5.1.1 😉

        • daiquiri says:

          Sim. e eu tenho o 5.1.1 e estou em 2015. o que tem?

          • Vlad says:

            Porque em 2015 não foi colocada nenhuma vulnerabilidade para a Apple!

          • JBM says:

            talvez o facto de tentares comparar uma única versão do Android com todas as versões do iOS.
            E talvez o facto de essa base de dados não incluir todas as vulnerabilidades que a Google ou outros corrigem no Android pois ao contrário da Apple a Google não tem tido por hábito divulgar esse tipo de informação.

          • Melo says:

            Não se pode comparar por CVE, porque a Apple publica aí as vulnerabilidades corrigidas ou não, e manda as vulnerabilidades por mailing list e tudo. Também todas as vulnerabilidades aí estão corrigidas, e disponíveis gratuitamente para todos os aparelhos dos últimos 5 anos!

            Já a Google paga uma boa soma a quem encontrar vulnerabilidades e as deixar fechadas…

            http://www.androidpolice.com/2015/06/16/google-announces-android-security-rewards-will-pay-you-to-find-and-fix-vulnerabilities-afflicting-nexus-devices-and-the-broader-ecosystem/

            Por isso é que só vês vulnerabilidades no Android publicadas por grandes empresas.

          • Benchmark do iPhone 6 says:

            Talvez o facto de “Ao todo 87% dos dispositivos avaliados estão vulneráveis a pelo menos uma das 11 vulnerabilidades graves encontradas no Android nos últimos 5 anos.

            A lista dessas vulnerabilidades pode se vista abaixo:

            KillingInTheNameOf psneuter ashmem, 2010-07-13
            exploid udev, 2010-07-15
            levitator, 2011-03-10
            Gingerbreak, 2011-04-18
            zergRush, 2011-10-06
            APK duplicate file, 2013-02-18
            APK unchecked name, 2013-06-30
            APK unsigned shorts, 2013-07-03
            Fake ID, 2014-04-17
            TowelRoot, 2014-05-03
            ObjectInputStream deserializable, 2014-06-22
            Stagefright, 2015-04-08
            Stagefright2, 2015-08-15”

            https://pplware.sapo.pt/smartphones-tablets/android/falha-grave-no-4g-afecta-todos-os-smartphones-android/

          • Anónimo says:

            @JBM
            De facto mostrar apenas as vulnerabilidades do 5.1.1 é tendencioso.
            Aqui estão todas de 2015 (todas as versões):
            http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/year-2015/Google-Android.html

            Quanto à segunda parte é só pensar um bocadinho para ver que isso são tretas. O Android é OpenSource, com várias equipas não afiliadas à Google a mexer nele diariamente. Pura e simplesmente não há forma de fazer essas tais correcções às escondidas (porque toda a gente vai ver que o código mudou aqui e ali, e tem a capacidade de rapidamente perceber o que se passou).
            Já os sistemas da Apple e Microsoft são fechados, aí sim dará para fazer o que dizes.

          • JBM says:

            @ Anónimo
            Não é treta nenhuma. É a Google que lança cada nova versão do sistema e raramente indica as correcções de segurança que são feitas nessas versões. É também a Google que anda activamente a dar recompensas a investigadores para ficar com as vulnerabilidades do Android.
            E se olhares para a lista de vulnerabilidades do Android nessa base de dados irás verificar que a maioria delas tem como fonte meros artigos de informação de descobertas de empresas de segurança. O facto é que ninguém no “Android” mantém uma base de dados pública com todas as correcções de segurança que são feitas no sistema, enquanto que a Apple indica tudo.
            E para tua informação, nem tudo no Android é Open Source. Muitos dos serviços da Google têm código fechado, e são distribuídos com quase todos os telemóveis vendidos.

          • daiquiri says:

            Mas que raio me interessa as versões anteriores à minha e quantas pessoas a têm? Eu tenho o 5.1.1.

            Não vou dizer que o windows tem mais vulnerabilidades porque o XP tá cheio de buracos e o meu vizinho ainda o usa.

            Vamos contar as vulnerabilidades do windows 98 também, para a microsoft ter o record de mais vulnerabilidades xD

            Uso o 5.1.1. É o mais actual e é com esse que me preocupo. Este foi o melhor site que encontrei com alguns dados.

            Dos dados que tenho e que leio é: em 2015 para o software mais recente possível eu com o meu telemóvel, ultima versão, tive 2 vulnerabilidades.

            O meu vizinho com iOS e com ultima versão teve 4.

            Qual é o problema nisso?
            (quanto tempo demora a apple a corrigir as 4 e o android a corrigir as 2 é outra historia. ou qual a percentagem de utilizadores que não actualiza ou escolhe nao actualizar. Eu estou na ultima com o meu android e também está o meu vizinho com iOS. e esses são os dados que tenho disponíveis para discutir e comparar)

          • Anónimo says:

            Tudo o que é mudado no sistema Android está devidamente registado nos commits do repositório (segurança, bugs, features, TUDO). Não há como esconder o que quer que seja, vai ver o log dos commits e revê tu mesmo se tens dúvidas. Só não o encontras porque não queres (está tudo aqui: https://android.googlesource.com/). Quanto muito peca por excesso de informação, nunca por falta!

            É normal que sejam empresas de segurança a descobrir falhas, não vejo nada de suspeito nisso. Assim como não há nada de questionável na Google pagar para que se descubram bugs.

            Não se confundam as apps e serviços proprietários da Google com o sistema Android. Nessas apps e serviços de facto as alterações não são detalhadas. Tal como não são o nas apps do iOS ou nas outras apps do sistema.

            E não, o iOS e Apple não são nenhum modelo de “abertura”. Detalham bem as actualizações, mas é código fechado que nada nem ninguém (externo) pode confirmar o que de facto foi feito.

          • JBM says:

            uma correcção
            parece que no último mês a google mudou a postura e começou a divulgar muitas das vulnerabilidades, ao contrário do que fazia até então! Coincidência das coincidências é neste último mês que se encontram a maioria das vulnerabilidades do ano.
            Convém também dizer que no iOS contam as vulnerabilidades do browser enquanto que o browser da Google é contabilizado à parte.

          • JBM says:

            daiquiri,
            se queres ir por aí então tens que comparar com a última versão real do teu vizinho com iOS, e não ir buscar a primeira coisa que te aparece à frente dos olhos sem saberes o que é, e aí chegas a isto:
            http://www.cvedetails.com/version-list/49/15556/1/Apple-Iphone-Os.html

            ou seja a última versão aponta 1 vulnerabilidade.
            de qualquer das formas como já disse, esta base de dados não tem todas as vulnerabilidades que passaram pelo Android, nem engloba vulnerabilidades com o browser no android.

          • JBM says:

            Anónimo,
            lamento informar-te mas quase nada do que aparece nesta base de dados “cvedetails” tem como fonte o repositório, pois o repositório apenas dá conta de mudanças no código, não tem mecanismos para reportar vulnerabilidades de segurança e suas correcções, isso é feito por outras vias.
            Só no último mês é que a Google passou a divulgar e catalogar como deve as vulnerabilidades/correcções no Android, mas noutro sítio que não o repositório.

            Quanto à tua teoria de que no iOS não são detalhadas as vulnerabilidades nas aplicações, isso é falso. Tudo é colocado no mesmo bolo… vais lá à lista do iOS e vês correcções ao Webkit/Safari, até à loja do iTunes no iOS. E sim a Apple é bem mais transparente nas correcções que faz do que a Google. Vai pesquisar um bocadinho aquilo que a Google foi anunciando ao longo dos anos a cada versão e verás que era raro anunciarem correcções de segurança e identificá-las a cada versão.

          • daiquiri says:

            Obrigado JBM pela correção. Então é 2 vs 1 vulnerabilidade para “o meu vizinho”

            O meu browser é o chrome (unico instalado até).

      • Safrane says:

        Lindos meninos!

        O iOS é chamado para a notícia?

        A verdade é nua e crua! Toda a gente com alguma consciência de segurança, nem sequer considera Android!

    • Melo says:

      http://androidvulnerabilities.org/

      Tens aqui uma boa colecção, mas nunca está completo, por exemplo, essa, ainda não está…

  3. Realista says:

    Ainda se queixam do Windows Phone

    • dadinha says:

      os Windows phone também não são la grande coisa, eu ando a há já quase 3 meses para a operadora me devolver o dinheiro mas ainda não consegui. quanto mais querem evoluir na tecnologia mais destas coisas surgem, quando se lança um projecto desta envergadura tem de se haver uma noção certa, e ate se fazer testes evitar estas situações

      • Jessica Andrelha Diegues says:

        LOL o que é que a Microsoft tem a ver com o facto de quereres devolver o Windows Phone à loja onde compraste ao fim de 3 meses?
        Não há lei sequer que deixe isso acontecer, senão andavamos sempre a trocar de smartphone e devolver quando deixassemos de o querer para reaver o dinheiro e comprar outro. Que cromo!

  4. Realista says:

    Mais uma do Android…


    Enviado pelo meu Windows Phone

    • Concept says:

      O Windows Phone também terá as suas falhas, não há muitas descobertas porque o público é bem menor. A vantagem do Windows Phone sobre Android é que no WP qualquer aparelho que tenha falha de segurança recebe atualização para a corrigir, no Android poucos high-end (!!) recebem correções.

  5. Marco Apple says:

    O android e os seus problemas tipicos, com lumias e iphones so compra androids quem quer…cada vez mais um “SO de tlms chineses com virus e sem updates”

  6. Anónimo says:

    Tal como o cert aponta (e bem) a maior parte dessas falhas não são do Android, são das redes que autorizam as essas acções não autorizadas. Obviamente que a implementação do Android não se devia comportar como um dispositivo atacante, mas o facto permanece que um (qualquer outro) dispositivo atacante conseguiria o mesmo porque a falha é das redes em si.

    Existe contudo uma dessas falhas que é de facto do Android, a da permissão de fazer chamada. Podia ter sido esclarecido que o problema é com o VoLTE (e não 4G em geral), e que a falha do Android vem do facto das chamadas em VoLTE serem pacotes de dados (logo a permissão só para dados/INTERNET) estar a permitir fazer chamadas por VoLTE.

    Muito alarido para tão pouco.

  7. marco chapita says:

    se eu fosse comprar o telemovel inspirado nos relatos do pplware lolol nunca comprava android,ou entao ja tinha dado em maluco de tar sempre a perguntar a marca se ja tinham lancado o update x e y. Uso android ha deixa ca ver 2010 a portanto 5 anos,sabem quantos problemas tive?? Zero nem me roubaram os dados nem o telemovel desligava se…. Este Marco Apple fala dos IOS, ve se mesmo que é um puto e nao sabe que todos os SO tem falhas de seguranca e bugs.e para esse mesmo senhor nao compra um iphone so quem nao quer,ao preço que pedem por um iphone 4S ainda pedem 229 com tecnologia de a 5anos atras… Fala da apple mas a apple cada vez que lanca um update tem que lancar logo um aseguir para corrigir as falhas e bugs,neste ultimo eram os telemoveis que se desligavam,e vem ele para aqui falar como se o IOS fosse perfeito lolol

  8. Melo says:

    Não faz mal! Os OEM dentro de uma semana ou duas lançam um update, e o assunto fica resolvido!

    O Android é mesmo um desastre!

  9. winetree says:

    Ao ler o artigo do CERT, fiquei com a impressão que as falhas já estavam corrigidas ou endereçadas e que a maior parte eram referentes a problemas nas redes em si.
    Realmente gostava de saber se as redes cá também sofrem do mesmo mal…

  10. Vlad says:

    Vá, mudem-me esse título não é uma falha grave do 4G, mas sim do Android.

    • Anónimo says:

      Lê o artigo do cert e rapidamente percebes que das 4 falhas apenas uma é do Android (a permissão para fazer chamada, CWE-732) e as outras 3 são das redes 4G (no VoLTE, CWE-284; CWE-287; CWE-384).

      • Vlad says:

        Lê novamente o artigo cert para perceberes que o problema não está no LTE em si, mas sim na implementação feitas por algumas operadores e na implementação efectuada no Android. Mas este artigo foca-se na vulnerabilidade descoberta por vários investigadores Sul Coreanos que diz respeito apenas ao Android.

  11. Mota says:

    Tranquilo.. A cyanogen lança o update na mesma semana que a google o enviar.

    Curioso.. se o problema está nas LTE não irá afetar outros s.o?

  12. Carlos Duarte says:

    Tal como o CERT aponta, a maior parte dessas falhas não são do Android, são das redes que autorizam as acções não autorizadas.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.