Android

[7Glasses]

Google создала «волшебный» инструмент для легкой перепрошивки смартфонов на «чистый Android»

https://nnmclub.to/forum/viewtopic.php?t=1357338&sid=3174beee2c2c7f87db0774c6d1bc21ee

[ska79]

 

 

Google создала «волшебный» инструмент для легкой перепрошивки смартфонов на «чистый Android»

думал мой теле2 макси плюс тоже можно прошить, оказалось что только пиксель можно прошить

[7Glasses]

@ska79, да ну, чтоб гугл думал о других))) он только свои пиксели любит! 

[Umnik]

По ссылке не ходил, но, скорее всего, там перепечатка из СМИ, которые вообще не шарят. Гугл дал инструмент для накатки билдов для разработки и тестирования, а не для прошивки Васянами. Разница с другими механизмами лишь в том, что не нужно тащить куски SDK, а не в том, что можно что-то окирпичить, как пишут в СМИ.
 
Гугл прямым текстом говорит, что это такое (https://source.android.com/setup/contribute/flash):

Android Flash Tool allows you to flash an Android build to your device, usually for development or testing.

Изменено 4 февраля, 2020 пользователем Umnik

[Friend]

Уязвимость в Android, позволяющая удалённо выполнить код при включённом Bluetooth :

 

В февральском обновлении платформы Android устранена критическая уязвимость (CVE-2020-0022) в Bluetooth-стеке, позволяющая организовать удалённое выполнение кода через отправку специально оформленного Bluetooth-пакета. Проблема может быть незаметно эксплуатирована атакующим, находящимся в пределах досягаемости Bluetooth. Не исключено задействование уязвимости для создания червей, по цепочке поражающих соседние устройства.

Для атаки достаточно знать MAC-адрес устройства жертвы (предварительного сопряжения не требуется, но нужно чтобы на устройстве был включён Bluetooth). На некоторых устройствах MAC-адрес Bluetooth может быть вычислен на основе MAC-адреса Wi-Fi. В случае успешной эксплуатации уязвимости атакующий может выполнить свой код с правами фонового процесса, координирующего работу Bluetooth в Android. Проблема специфичная для применяемого в Android Bluetooth-стека Fluoride (основан на коде проекта BlueDroid от компании Broadcom) и не проявляется в применяемом в Linux стеке BlueZ.

Выявившие проблему исследователи смогли подготовить рабочий прототип эксплоита, но детали эксплуатации будут раскрыты позднее, после того как исправление будет доведено до основной массы пользователей. Известно только, что уязвимость присутствует в коде пересборки пакетов и вызвана некорректным вычислением размера пакетов L2CAP (Logical link control and adaptation protocol), в случае если переданные отправителем данные, превышают ожидаемый размер.

В Android 8 и 9 проблема может привести к выполнению кода, но в Android 10 ограничивается крахом фонового процесса Bluetooth. Более старые выпуски Android потенциально подвержены проблеме, но возможность эксплуатации уязвимости не тестировалась. Пользователям рекомендуется как можно скорее установить обновление прошивки, а если это невозможно - по умолчанию отключить Bluetooth, запретить обнаружение устройства и активировать Bluetooth в общественных местах только при крайней необходимости (в том числе можно заменить беспроводные наушники на проводные).

Кроме отмеченной проблемы в февральском наборе исправлений проблем с безопасностью для Android устранено 26 уязвимостей, из которых ещё одной уязвимости (CVE-2020-0023) присвоен критический уровень опасности. Вторая уязвимость также затрагивает Bluetooth-стек и связана с некорректной обработкой привилегии BLUETOOTH_PRIVILEGED в setPhonebookAccessPermission. Что касается уязвимостей, помеченных как опасные, то 7 проблем устранено во фреймворках и приложениях, 4 в системных компонентах, 2 в ядре и 10 в открытых и проприетарных компонентах для чипов Qualcomm.

 

 

[Umnik]

Чтобы сообщить свой Мак на блютусе, нужно разрешить обнаружение. Это нужно сделать руками нарочно. Маки блютуза и вай-фай никогда не совпадают, если это не какие-то маргинальные китайские ноунеймы (там 1 мак на всех). В общем, уязвимость серьёзная по урону, но не слишком опасна по простоте атаки.

[kmscom]

вот такая новость мне пришла в Kaspersky Security Cloud https://www.securitylab.ru/news/504702.php

[Umnik]

Ну, это стандартные патчи пятого числа: https://source.android.com/security/bulletin/2020-02-01.html1-го числа каждого месяца выпускаются патчи, обязательные для всех производителей, а 5-го числа каждого месяца — выборочные.

[Friend]

Из Google Play удалено около 600 приложений, нарушающих правила показа рекламы :

 

Компания Google сообщила об удалении из каталога Google Play около 600 приложений, в которых выявлены нарушения правил показа рекламы. Проблемным программам также заблокирован доступ к рекламным сервисам Google AdMob и Google Ad Manager. Удаление в основном затронуло программы, отображающие рекламу неожиданно для пользоваеля, в мешающих работе местах и во время, когда пользователь не работает с приложением.

Блокировка также была применена к приложениям, показывающим рекламу на весь экран без возможности отменить показ, выводят рекламу на домашнем экране или поверх других приложений. Для выявления проблемных программ была использована новая система, реализованная с применением методов машинного обучения. В числе исключённых из каталога программ оказались 45 приложений компании Cheetah Mobile, получившей известность как производитель самых популярных мобильных приложений (634 млн активных пользователей по состоянию на 2017 год).

 

 

[sputnikk]

Недавно где-то читал, но забыл. Как обезопаситься от нового вида фишинга - считывания номера смарта при заходе с него на рекламируемый сайт?

Пример фишинга https://www.yaplakal.com/forum7/topic2074989.html

[Cosmic radiation]

Недавно где-то читал, но забыл. Как обезопаситься от нового вида фишинга - считывания номера смарта при заходе с него на рекламируемый сайт?

Пример фишинга https://www.yaplakal.com/forum7/topic2074989.html

Ну не фишинга, а спама. Ну да ладно, на самом деле там есть хороший ответ "ты бы еще Амиго поставил", Впрочем, я бы в лобовую не стал обвинять именно Яндекс, вероятно там есть еще какая-то живность. А так мне ни разу не звонили и всем кого я знаю, по такой логике, в том числе и среди пользователей Я браузера. Мне одно время он тоже нравился, но чего-то какая то ...лажа ))) Firefox зашел неплохо )))

[Umnik]

Номер телефона даёт сам оператор, а не Яндекс. Это известная тема, ей уже много лет.

[sputnikk]

Кто нибудь имеет проблему с синхронизацией Gmail на старых устройствах? У меня пишет: не удалось синхронизировать, введите правильные учётные данные, но при кликаньи на эту кнопку ничего не происходит. Данные в программе имеются, моё имя показано правильно.

На странице приложения есть аналогичные жалобы.

Возможно проблема в несовместимости версий для старых устройств с почтовым сервером.

[sputnikk]

Приложения HUAWEI AppGallery  https://appgallery8.huawei.com/#/Featured 

В принципе достаточно для основных потребностей

[sputnikk]

Treble Check - Treble Compatibility Checking App. Проверяет поддерживает ли устройство бесшовное (незаметное) обновление прошивки