Berta Sándor

Még soha nem volt ennyi Android-hiba

Új szintet ért el az operációs rendszer sebezhetősége.

A potsdami Hasso Plattner Intézet (HPI) IT-támadáselemzési adatbázisa az év első nyolc hónapjában 350 Android-hibát regisztrált. Ez új rekordot jelent és a szám több mint a kétszerese a tavalyi esztendőben regisztráltnak. A nyilvánosságra került biztonsági rések 70 százaléka nevezhető kritikusnak. Amíg 2014-ben még csak 2 közepes és 5 súlyos biztonsági hibát találtak, addig tavaly már 37 közepeset és 94 súlyosat, míg az idén az első nyolc hónapban 102 közepeset és 240 súlyosat.

Dr. Christoph Meinel professzor, a HPI intézetigazgatója kijelentette, hogy az Androidot a széles elterjedtsége különösen vonzó célponttá teszi bűnözők számára. A biztonsági szakértők is intenzíven keresik az esetleges sebezhetőségeket. A megváltozott helyzet részben annak is köszönhető, hogy az operációs rendszer a frissítések és a bővítések miatt egyre összetettebb lesz, ezáltal pedig nő a rések megjelenésének a kockázata. A szakember hozzátette, hogy a felhasználóknak figyelniük kellene arra, hogy az eszközeiket olyan gyártóktól szerezzék be, akik rendszeresen adnak ki a termékeikhez frissítéseket.

A HPI lehetőséget ad arra, hogy bárki átvizsgálja a használt programjai biztonságosságát. A https://hpi-vdb.de címen bárki összeállíthatja az aktuális szoftververzióinak a listáját, majd azokat a platform átkutatja biztonsági hibák után. Az intézet IT-támadáselemzési adatbázisában összesen 77 577 sebezhetőséget tárolnak, ezek 192 231 alkalmazást és 15 708 gyártót érintenek. A rendszer minden az interneten megjelent és szabadon hozzáférhető információt összegyűjt a biztonsági résekkel és problémákkal kapcsolatban. A hibák súlyosság szerinti besorolása a szabad és nyílt Common Vulnerability Scoring System (CVSS) ipari szabvány alapján történik.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • bdzsana #17
    Igen tudom hogy most így működik. Csak egyszerűen nem értem, hogy miért és miért hagyja a google a gyártók kezében ezt.
    Nekem annyira egyértelmű, hogy ez így lenne a legegyszerűbb és talán az egyetlen módja, hogy megkapjuk időben a frissítéseket.
    Épp azt akartam kérdezni egy hozzáértőtől, hogy ennek gyakorlatilag mi az akadálya? Valahogy ezerszer logikusabbnak tűnik.
    Ha van 3 db A komponens, 3 db B, 3 db C és 3 db D (monjuk kijelzőtípsuok, gpu, proci stb)
    akkor ezekhez 12 db drivert kellene készíteni és kész ez jó lenne 3x3x3x3 (81) db telefonhoz, de ehelyett csinálnak hozzá 81 féle OS-t, mert ennyi variációjú mobil rakható ki a komponensekből. Persze a valóságban ez még brutálisabban kusza mert nem 3 féle kijelző vagy proci létezik.
    Így nem is értem, hogy várnak változást.
  • kvp #16
    "Valaki aki ért a témához el tudná nekem magyarázni, hogy a mobil operációs rendszerek miért nem tudnak úgy működni mint a desktopok? Miért nem lehet azt megoldani, hogy felrakom a stock os-t és a drivereket az adott hardverhez letölti, vagy alapból ismeri."

    Van ilyen valtozata is, az open source es a google fele hivatalos android is ilyen. A driver-ek android alatt jellemzoen mar ma is a linux pnp rendszeren keresztul toltodnek be, igy a gyari install-okbol kimasolhatoak a sajat forditasuba a binaris driver file-ok.

    A problema ott van, hogy a gyartok elotelepitik az os-t (az android-ot), raadasul mindenfele sajat modositassal, ami kizarja, hogy a google kozponti szervererol toltsuk le a frissiteseket, mert az tonkrevagna a modositott rendszert. Ez kb. olyan mintha minden laptopgyarto aki elotelepiti a windows-t, letiltana a microsoft-os frissiteseket azzal, hogy majd o letolti oket es csinal belole sajatot, amit kis kesessel (vagy soha) kiadja oket. Ez a microsoft home window-ai eseten nem megy, de pl. ceges kornyezetben ez a normalis windows frissitesi megoldas, mert igy pl. egy elrontott kozponti frissites nem vagja tonkre az osszes ceges gep webkamerajat, hogy egy gyakorlati es friss peldanal maradjak.

    A gond az, hogy a google nem erolteti a frissitest, tehat a gyartok vagy frissitenek vagy nem, de nem lesznek rakenyszeritve soha.

    ps: Az android egy desktop linux, amit a google sajat mobilra optimalizalt gui-javal egeszitettek ki, de tartalmaz nehany szerver komponenst is, pl. teljes erteku sql adatbaziskezelot, amit bizonyos felhasznaloi beallitasok tarolasara hasznalnak. A dolog mellekhatasa, hogy az android eroforrasigenye sajnos megegyezik egy hasonlo tudasu desktop rendszerevel, cserebe viszont a tudasa is desktop szintu, tehat az os-t fejlesztok segitsege nelkul is konnyebb atvenni uj technologiakat, mert az alkalmazasfejlesztoknek szabadabb kezet ad mint a tobbi alternativa.
  • Poetro #15
    Azért, mert amikor ezek az operációs rendszerek megjelentek, akkor a telefonok kis teljesítményű, kevés tárhellyel és memóriával rendelkező számítógépek voltak. Ezekre a legjobb, ha minden meghajtót belefordítasz a kernelbe, és csak azokat a meghajtókat, amik ténylegesen szükségesek, hogy minél kisebb legyen a kernel.

    Ezzel ugye megszületik a probléma, hogy ha frissíteni akarod a kernelt, akkor újra kell fordítani, a megfelelő driverekkel együtt. Ha forgattál már linuxot, akkor tudod, ez hogyan működik.
  • cateran #14
    Aham... Csak en nem ezt kerdeztem....
  • bdzsana #13
    Valaki aki ért a témához el tudná nekem magyarázni, hogy a mobil operációs rendszerek miért nem tudnak úgy működni mint a desktopok? Miért nem lehet azt megoldani, hogy felrakom a stock os-t és a drivereket az adott hardverhez letölti, vagy alapból ismeri.
    Az google kiadja az os-t, a hardvergyártók, meg a drivereket és kész. Mint ahogy pc-n. Olyan nehéz lenne ezt megoldani?
  • cenobite #12
    Nem vagyok nagy mobilfogyasztó, csak akkor cserélek telefont ha a régi már végképp kinyúlt. Jelenleg egy Lenovo A328-at használok amit még 2014-ben vettem. Ugyanaz a rendszer van rajta mint amikor megvettem, soha nem frissítettem és tökéletesen működik. Appok közül is csak azokat töltöm le ami nagyon fontos, játékot néhányat unaloműzőként. (Nem, nem élek barlangban, mielőtt valaki megkérdezné. :) )

    Van néhány ismerősöm aki viszont folyamatosan panaszkodik hogy "vírusos" a telefonja, lassú, lefagy, meg ilyesmi. Aztán amikor erről beszélgetünk, kiderül hogy letöltenek minden szart, folyamatosan megy az adatkapcsolat, facebook, snapchat, viber, meg még legalább 2323562236 app a háttérben (sokszor pl. vásárláskor is az előttem/mögöttem állónak 3-4 másodpercenként pittyen a mobilja...), amik persze folyamatosan frissítik magukat.
    No és természetesen egy halom warez van a készülékükön. Ja és rootolás ezerrel. És ilyenkor jön a "szarazandroid" kezdetű véget nem érő történet.

    Ilyen használat mellett én sem csodálkoznék ha állandóan behalna a teló. Természetesen nem tökéletes az android rendszer (melyik az?), de nagyon sokszor inkább user error miatt van a rinya. Legalábbis én ezt tapasztaltam eddig.
  • Cat #11
    "hany ismerosodnek lett barmifele baja mobilon akarmilyen biztonsagi res miatt"

    Tekintve, hogy terjed a mobil bankolás és a mobilos fizetés, ez csak idő kérdése.
  • wraithLord #10
    A #6-os kommentem első és második bekezdését igazából nem olyan célzattal írtam, hogy összevonjuk őket, két egymástól elkülönülő gondolatmenet akart lenni... Ha összevonod, láthatóan és nyilvánvalóan triviális és/vagy demagóg marhaság lesz belőle, kifordítva az eredeti mondanivalót.
    A naivitás említése pedig inkább irónia, mintsem útmutatás akart lenni... :)
  • cateran #9
    De ugy frankon..hany ismerosodnek lett barmifele baja mobilon akarmilyen biztonsagi res miatt...vagy ugy egyaltalan...kb 10 eve hasznalok tobbfele okostelot relative aktivan, high-end es low-end is, meg a 2 kozott is, de meg a budos eletben nem volt semmifele gondom ilyen szempontbol (szar alap appokkal rengeteg, iphoneon az alap zenelejatszo, blackberryn a bongeszo, illetve ha streamet akartam nezni/hallgatni, androidon meg...hat ott is volt jopar dolog:D)
  • Szefmester #8
    Mivel a telefongyártók gyakorlatilag csak összelegózzák a készülékeiket, megírják az alap meghajtóprogramokat az egyes alkotóelemekhez a fejlesztők, a telefon kiadója és legózója egy kupacba szedi ezeket egy droid rendszerbe, meg esetleg ad mellé valami egyedi GUI-t majd telefossa a saját szarjaikkal és ennyi. Kb ezt csinálják a kiadók a készülékekkel.
    A Google nem kicsit szopatná meg őket ha csinálna egy globális adatbázist, és installer készítő alkalmazást ahol kiválaszthatom milyen telefonom van (tudják onnantól milyen meghajtó kell), milyen gui-t akarok, meg milyen egyéb ingyenes alkalmazásokat akarok alapból a készüléken majd. Erre kapok egy iso-t amit felrakok a telefonra és kész... Ha meg jön a frissebb oprendszer a hibajavításokkal majd csinálom ismét ezeket a lépéseket.

    Ehelyett meg reménykedhet az ember hogy az egy éves telefonjához kap e majd hibajavítást, vagy új friss rendszert. Még akkor is ha a készülék maga elbírná azt... Persze egy ilyen rendszernél ritkábban tudnának a gyártók új telefonokat kiadni...