Gå til innhold

Android-enheter kan krasjes med et enkelt bilde

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
quantum

quantum

Skrevet
Skrevet

Blir spennende å se hvor lang tid det tar før alle leverandørene av Androidtelefoner klarer å få distribuert oppdateringen ... 

 

Ja, det er bare å velge telefon fra en leverandør som faktisk gidder å distribuere oppdateringer, men hvor mange kjøpere av Android-telefoner vet de må tenke på det, da?

Lenke til kommentar
Spoki0

Spoki0

Skrevet
Skrevet

Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. ;)

 

Sånn bortsett fra at det ikke er begrenset til å åpne vedlegget i epost. Du må bare parse JPEG bilde med skadelig EXIF metadata via standardbiblioteket i Android.

  • Liker 1
Lenke til kommentar
Gjest Slettet-OvFPdyiZ

Gjest Slettet-OvFPdyiZ

Skrevet
Skrevet

Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. ;)

 

Dette var kanskje sant en gang i Androids tidlige barndom, men ting endrer seg. Påstår du virkelig at 82,8% av smarttelefonbrukere (Android markedsandel i 2015, tall fra IDC) skjønner at de ikke skal åpne en e-post som inneholder et bilde? Ser de i det hele tatt om e-posten inneholder et bilde så lenge det ikke ligger som et vedlegg (om e-posten er i HTML-format kan bildet være lagret på en hvilken som helst webserver)?

 

Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc...

Lenke til kommentar
KaiO

KaiO

Skrevet
Skrevet

Ja, det er bare å velge telefon fra en leverandør som faktisk gidder å distribuere oppdateringer, men hvor mange kjøpere av Android-telefoner vet de må tenke på det, da?

 

Det er vel et større problem at du som mobilkjøper er prisgitt leverandøren. (Og om du i det hele tatt kan finne informasjon om hvilke leverandører som pusher oppdateringer!)

Jeg elsker Linux, men Android...

Lenke til kommentar
Trolliucuz

Trolliucuz

Skrevet
Skrevet

Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc...

 

Sikkerhetsuppdateringer kommer via Google Play nå for tiden uavhengig av mobil-leverandør så din påstand er direkte feilaktig.

Lenke til kommentar
IM0T45WW

IM0T45WW

Skrevet
Skrevet

Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. ;)

 

I'll take the bait.

 

Jeg er teknolog, men ikke programmerer. På hobbybasis tukler jeg med linux servere, raspberry pies, programmering i diverse språk, elektronikk, nettverk, HTPC. Jeg har lagt in cyanogenmod på alle mine telefoner og nettbrett og hoster min egen epost og andre skytjenester hjemme fordi jeg ikke stoler på ting som er gratis, etc. etc. etc.

 

Frem til i dag så trodde jeg at bilder var trygge å åpne uansett kilde (Selvsagt ikke lenker til bilder, men bilder som er vedlegg)

Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Som programmerer forstår jeg ikke hvorfor OS'et skulle kunne kjøre kode som ligger i Exif.

 

Greit nok at ting kræsjer, har ikke programmeren (av prosessen som avleser data) sett for seg en gitt kombo av data kan det skje. Slikt kalles en bug. Men fra program/system-kræsj til faktisk å eksekvere noe ukjent er det et godt stykke.

Endret av Slettet-Pqy3rC
Lenke til kommentar
Harald Brombach (digi.no)

Harald Brombach (digi.no)

Skrevet
  • Forfatter
Skrevet

Som programmerer forstår jeg ikke hvorfor OS'et skulle kunne kjøre kode som ligger i Exif.

 

Greit nok at ting kræsjer, har ikke programmeren (av prosessen som avleser data) sett for seg en gitt kombo av data kan det skje. Slikt kalles en bug. Men fra programkræsj til faktisk å eksekvere noe ukjent er det et godt stykke.

Tror noen med litt mer detaljkjennskap til dette skal få gi et mer utfyllende svar, men jeg oppfatter det ikke som at det er kjørbar kode i Exif som forårsaker krasjen. Men detaljene rundt dette er få, bortsett fra at det dreier seg om korrumpering av minnet: https://en.wikipedia.org/wiki/Memory_corruption 

Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Men detaljene rundt dette er få, bortsett fra at det dreier seg om korrumpering av minnet: https://en.wikipedia.org/wiki/Memory_corruption 

Ja, har du ikke stålkontroll i C vil du lett kunne lese utenfor variablene dine. Dvs. lese (eller forsåvidt skrive til) variabelverdier som ikke finnes. Slike meldinger fra os'et har vel til og med de fleste brukere opplevd; "Read of invalid adress ...".

Det å utnytte en slik bug til faktisk å kontrollert kunne eksekvere ønsket kode er imidlertid et langt steg videre i kompleksitet. Du må ihvertfall ha kildekoden til systemet hvor feilen inntreffer. Så skal må klare å overskrive data på adressen til et aller annet funksjonskall som står for tur til å bli blir utført (en god posjon flaks med adresseringene behøves). Sånt blir vel lett "journalist brøling" uten egentlig noengang å kunne bli utført i praksis.

Endret av Slettet-Pqy3rC
Lenke til kommentar
quantum

quantum

Skrevet
Skrevet (endret)

 

Ja, det er bare å velge telefon fra en leverandør som faktisk gidder å distribuere oppdateringer, men hvor mange kjøpere av Android-telefoner vet de må tenke på det, da?

Det er vel et større problem at du som mobilkjøper er prisgitt leverandøren.

 

 

Øh? Whatever ...

Endret av quantum
Lenke til kommentar
Bjørn A. Johansen

Bjørn A. Johansen

Skrevet
Skrevet

Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. ;)

 

Men kjente kilder er helt trygge da? Ingen medarbeidere, venner, eks-kjærester, konkurrenter, foreldre til klassekameratene til kidsa, fake nyhetsbrev eller noe sånt som kan tenkes å utnytte noe sånt?

Lenke til kommentar
hekomo

hekomo

Skrevet
Skrevet

 

Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc...

Sikkerhetsuppdateringer kommer via Google Play nå for tiden uavhengig av mobil-leverandør så din påstand er direkte feilaktig.

 

Det var jeg ikke klar over. Er det denne du tenker på? (Kilder er et fint dyr.)

Lenke til kommentar
Gjest Slettet-OvFPdyiZ

Gjest Slettet-OvFPdyiZ

Skrevet
Skrevet

 

Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc...

Sikkerhetsuppdateringer kommer via Google Play nå for tiden uavhengig av mobil-leverandør så din påstand er direkte feilaktig.

Det var en kjekk drøm Google hadde, og de klarer å gjøre mange fikser den veien. Det er dessverre en del feil som ligger dypere enn det Play Services når. Det er derfor Google kjører ut systemoppdateringer hver måned, som fikser feil og mangler de ikke kan ta på annet vis. Det er ikke for moro skyld de dedikerer såpass med ressurser på det.

 

Nok et argument for å bruke Nexus-telefoner heller enn Samsung, LG, HTC etc, i alle fall inntil de også begynner å tilby patchene Google sender dem.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...