Ноя 09 2008

Google убрала возможность получения root-доступа в Android

Рубрика: AndroidDmitry Shurupov @ 19:28

На этой неделе ресурс AndroidGuys сообщал, что в Linux-платформе Android нашлась возможность получить права суперпользователя (root), позволяющие выполнять любые операции в системе. И вот недавно стало известно, что в Google уже устранили эту «проблему».

Получить root-доступ на Android (в версиях до RC29 включительно) очень просто: надо запустить приложение PTerminal (доступное на Android Market), стартовать через него демон /system/bin/telnetd, после чего подключиться к устройству с компьютера через telnet-клиент под пользователем root.

Но представители Google уже успели расстроить обрадовавшихся было Linux-пользователей и хакеров:

Нас предупредили об этой проблеме (возможности обойти ограничения в Android) и мы подготовили исправление. Сейчас мы работаем с партнерами над распространением этого исправления и обновлением опубликованной кодовой базы, чтобы отобразить проведенные изменения.

Это означает, что при переходе пользователей на новую версию прошивки Android они вновь лишатся возможности получить root-доступ к системе. Такой навязчивый подход Google, несколько противоречащий открытости платформе, уже породил вопросы из разряда: «Разве не должно у пользователей быть права самостоятельно выбирать, хотят ли они обновляться до RC30? Почему им не позволено делать с Android все, что они захотят?»

В комментариях на том же AndroidGuys высказывается мнение, что здесь во многом вина не Google, а T-Mobile. Ведь именно сотовый оператор обязывает насильно обновлять прошивку с Android пользователям смартфонов G1.


Окт 28 2008

В безопасности Web-браузера Android обнаружена уязвимость

Рубрика: AndroidDmitry Shurupov @ 1:20

Как многие могли уже видеть в различных интернет-СМИ, в безопасности Web-браузера Android была обнаружена серьезная уязвимость. Об этом сообщили в онлайн-версии New York Times со ссылкой на заявления Чарльза Миллера (Charles A. Miller).

По словам Миллера, Web-браузер в операционной системе Android обладает такими правами, что злоумышленники смогут им успешно воспользоваться не по назначению — например, «установить программу, записывающую клавиши, нажимаемые пользователем во время путешествий по Web» (это позволит получить личные данные вроде паролей на сайты). Миллер связывался с представителями Google и сообщал им о проблеме, на что те ответили сдержанно — по их словам, возможности безопасности телефона ограничат ущерб, который может быть нанесен злоумышленником. «Мы хотели изолировать каждое приложение [с помощью так называемых "песочниц"], поскольку вы не можете доверять ни одному из них», — заявил Рич Кэннингс (Rich Cannings), инженер по безопасности из Google. По его словам, компания уже исправила проблему в исходном коде платформы и работает со своими партнерами по смартфону G1 (T-Mobile и HTC) для предоставления исправлений первым пользователям.

Кроме того, в Google заявили, что Миллер нарушил негласное соглашение, по которому исследователи проблем в безопасности не публикуют сведения об уязвимостях до тех пор, пока компании-производители их не исправят. Впрочем, Миллер заявил, что не публиковал никаких технических подробностей о проблеме, и добавил, что считает правильным информировать потребителей о проблемах в продуктах.

Интересно, что Миллер, обнаруживший уязвимость, работал в качестве специалиста по ИТ-безопасности в Управлении национальной безопасности США (NSA). Кроме того, он недавно (в марте этого года) успел прославиться и тем, что победил в конкурсе конференции CanSecWest, воспользовавшись брешью в безопасности Web-браузера Apple Safari и прочитав содержимое файла с лаптопа Macbook. Сейчас Миллер работает в Independent Security Evaluators.