Android, 950 milioni di dispositivi a rischio

[Debianizzato]

http://www.tomshw.it/news/un-bug-di-and ... ente-68841

Siamo forse di fronte al piú grave bug degli ultimi anni. Qualunque dispositivo Android puó essere infettato con un VIDEO

[ubuntu452]

A patto che tu conosca il numero della persona e poi il tizio che l'ha scoperto ha mandato la patch correttiva degli errori.
È stato corretto.
Come al solito senza L'Open source, ci avrebbero messo più tempo.
Non ti preoccupare(almeno che hai una vecchia versione di android....)

[Debianizzato]

Eh no. Google rilascia l'aggiornamento solo sui nexus. Tutti gli altri produttori da android 2.2 alla 5.1.1 sono a rischio.

Il bug é bello che aperto

[ubuntumate]

Non mi riguarda.Non uso robaccia come whatsapp e hangout.Non li ho nemmeno sul telefono.

[Debianizzato]

Si ma probabilmente saranno affetti tutti i servizi di messaggistica. Basta che visualizzino l' anteprima del video.
E' un bug gravissimo

[Papero_Assassino]

una vulnerabilitá che può essere sfruttata, anche con un MMS ad esempio, anche se non più usati dagli utenti.
impossibile poi che colossi come Samsung, non correggano il bug

[Darren]

una vulnerabilitá che può essere sfruttata, anche con un MMS ad esempio, anche se non più usati dagli utenti.
impossibile poi che colossi come Samsung, non correggano il bug

Mi sembra veramente IMPOSSIBILE che verrà corretto in molti dispositivi.... nemmeno se marchiati Samsung...
Già della serie Galaxy ne hanno fatti non so quante decine di versioni diverse, e sono pronto a scommettere che gli aggiornamenti arrivano solo sugli ultimi S6, Note 4, ecc..
Provate a pensare tutti gli altri modelli in circolazione

Per non parlare di altre marche e sottomarche (per dire) Mediacom, Kevler....

[Janvitus]

Va be', ma la gente che apre i video senza nemmeno avere un po' di cautela se li meritano i virus...

[Debianizzato]

Da quanto ho capito basta visualizzare l'anteprima. Ci sará una demo dell'attacco. Riguarda la libreria che gestisce i video si android. In alta percentuale dei casi, l'attaccante potrá avere accesso root. Mi ricorda i tempi d'oro del bluebug.

[kimj]

nemmeno, basta che l'applicazione di messaggistica analizzi in background il file video per estrarne metadati, cosa che fa in automatico appena scaricato

[Darren]

scusate ma, tecnicamente, non sarebbe possibile patchare il bug "da soli" ??

voglio dire, se il bug scoperto permette di avere accesso come root al dispositivo semplicemente visualizzando, o analizzando l'anteprima di un video, la patch correttiva non sarebbe possibile applicarla tramite un video "buono" ??

come il bug può essere sfruttato in modo negativo non lo può essere in quello positivo??

[ubuntu452]

Non credo, comunque io ho cyanogenmod 12.1 nightly sul mio s2, quindi ho un aggiornamento al giorno eell'os, quindi le patch arriveranno subito.
Se siete preoccupati, installate la cyanogenmod

[Darren]

Se siete preoccupati, installate la cyanogenmod

si... grazie...
se la cyanogenmod fosse compatibile con TUTTI i dispositivi Android allora ok, ma visto che non lo è...

[Debianizzato]

Il mio galaxy s5 é aziendale. Non posso installarci nulla e non intendo perdere tempo a farlo

[Jhack]

una vulnerabilitá che può essere sfruttata, anche con un MMS ad esempio, anche se non più usati dagli utenti.
impossibile poi che colossi come Samsung, non correggano il bug

samsung se ne strafrega

[superlex]

Bé stando a quanto detto qui dovremmo essere tutti al sicuro:
http://forum.ubuntu-it.org/viewtopic.php?f=97&t=585533

[Debianizzato]

Quella libreria non sembra essere aggiornabile tramite play services

[steff]

https://www.schneier.com/blog/archives/ ... t_vul.html
http://blog.zimperium.com/experts-found ... f-android/

Attackers only need your mobile number, using which they can remotely execute code via a specially crafted media file delivered via MMS. A fully weaponized successful attack could even delete the message before you see it. You will only see the notification. These vulnerabilities are extremely dangerous because they do not require that the victim take any action to be exploited. Unlike spear-phishing, where the victim needs to open a PDF file or a link sent by the attacker, this vulnerability can be triggered while you sleep. Before you wake up, the attacker will remove any signs of the device being compromised and you will continue your day as usual – with a trojaned phone. - See more at: http://blog.zimperium.com/experts-found ... umjIJ.dpuf

Gli aggressori hanno solo bisogno del vostro numero di cellulare, tramite il quale si possono eseguire codice da remoto tramite un file multimediale appositamente predisposto fornito tramite MMS. Un attacco riuscito pienamente come arma potrebbe anche eliminare il messaggio prima di vederlo. Si vedrà solo la notifica. Queste vulnerabilità sono estremamente pericolosi perché non richiedono che la vittima intraprendere alcuna azione da sfruttare. A differenza di spear-phishing, in cui la vittima ha bisogno di aprire un file PDF o un link inviato dall'aggressore, la vulnerabilità può essere attivato durante il sonno. Prima ci si sveglia, l'attaccante rimuoverà tutti i segni del dispositivo viene compromessa e si continuerà il vostro giorno come di consueto - con un telefono un trojan.

Per chi mastica l'inglese. Il punto è che Google ha patchato, ma i vari produttori non hanno mica furia, anzi.

[superlex]

A me sembra anche normale che Play Services non possa occuparsi di tutte le patch per Android, quindi torniamo a ribadire che su Android la sicurezza vale 0, visto che ci sono tantissimi modelli e la maggior parte come nascono rimangono.
Chissà quante altre vulnerabilità oltre questa dei video ci sono.

[ubuntumate]

Questo è il motivo per cui vorrei un sistema mobile open source,o meglio free! Eh si perchè Android non è 100% open source come del resto tutte le ROM derivate.Io che non ho tutta la marea di app Google,rischio qualcosa a parte quell'exploit degli MMS(che non ho attivi)?