Problemi Di Sicurezza Sul Browser?

[Ma_tteo]

Ciao ragazzi.
Non so se lo sapevate, ma c'è una falla di sicurezza sul browser.

Non so che tipo di problemi ci sono.. Però mi pareva giusto segnalarvelo.
Ecco il link:

Browser Bug and Fix? - xda-developers

[Cassius]

E' vecchia, puoi leggere informazioni al riguardo qui:
Scorianz.com » VulnerabilitÃ* del browser di Android »
Cavolo, a forza di postare mi sembra di essere uno spammer!

[Andrea]

E' vecchia, puoi leggere informazioni al riguardo qui:
Scorianz.com » VulnerabilitÃ* del browser di Android »
Cavolo, a forza di postare mi sembra di essere uno spammer!

Lol .. Importante è che siano informazioni utili e inerenti

Io non ho nulla in contrario!!

[Andrea]

Il nostro Sebastiano ha creato un ottimo articolo per chi ne volesse sapere di più:
Androidiani: Grave security-bug di android nell’utilizzo del browser integrato | browser, bug

[Cassius]

Il nostro Sebastiano ha creato un ottimo articolo per chi ne volesse sapere di più:
Androidiani: Grave security-bug di android nell’utilizzo del browser integrato | browser, bug

Guarda che avete preso una cantonata micidiale.
Credo che non abbiate capito la situazione, leggete qui:
Scorianz.com » Android »

[Andrea]

Guarda che avete preso una cantonata micidiale.
Credo che non abbiate capito la situazione, leggete qui:

Cassius l'hai presa un po troppo alla lettera..
Tutto ciò che sebastiano ha riportato nel blog è reale.. se volessimo spulciarla per ogni singola frase (come hai fatto tu) ecco che ne esce.

... che ha riportato un articolo ed ha inviato una mail ai suoi iscritti in cui propone addirittura di non usare più il browser di Android!

Non siamo noi a dire di non usare il browser android ma Charles Miller.
(computer security researcher che ha lavorato per l'NSA)

Non ha senso dire “non usate più il browser”, basta scaricare la patch!
La patch viene scaricata automaticamente dai G1 collegati alla rete T-Mobile, per noi italiani invece basta scaricarla da qua.

Ha senso dirlo qualora ci sia una minaccia reale.. Quanto questa sia remota non ha importanza.. Noi abbiamo giocato un ruolo di informazione.. Abbiamo cercato una notizia, ci siamo informati abbiamo approfondito e abbiamo redatto alcune informazioni che ritenevamo importanti da discutere.

Inoltre che senso ha creare allarmismi oggi, quando Dianne Hackborn (ingegnere framework di Google) il 3 febbraio (10 giorni fa) ci aveva già spiegato che il problema era stato risolto?

10 giorni fa era risolto sui repository e noi abbiamo sottolineato che però non è stata rilasciata nel rc33

Anche la prima parte dell’articolo del blog in questione è errata, i comandi root erano eseguibili ovunque, non solo nella ricerca nel Market.
....
Inoltre nell’articolo c’è scritto ” venne scoperta una falla, che ad ascoltare la disinformazione dilagante del tempo, sembrava fosse gravissima”.
Credo che poche cose siano più gravi di dare privilegi di root alla macchina

Di questo ti do atto. Tuttavia voglio ricordare che sebbene esistesse questa falla.. a causa dell'architettura android, lanciare un rm-rf / avrebbe si fatto dei danni ma non cosi gravi da rendere inutilizzabile il cellulare. Sebastiano alludeva alla disinformazione catastrofica che girava nella blogosfera in quel periodo.. ( sembrava la falla peggiore del secolo )

Inoltre la comunità, a suo tempo, si è comportata veramente male non contattando security@android.com e quindi rendendo impossibile il fix del problema ancora prima che un utente malintenzionato pensasse a come sfruttare il bug..

Questa falla è stata risolta ( se non erro ) con il primo rilascio della rc30 pochissimi giorni dopo del problema.

Spero che ora la “disinformazione dilagante di oggi” provveda ad una smentita.

Non credo che la smentita sia la soluzione migliore.. Anzi.. Il problema esiste ( e sebbene esista una patch ) il 99% degli utilizzatori android (sebbene ancora purtroppo pochi ) non hanno la dimestichezza, la conoscenza, il tempo di applicare una patch.

Sperando di essere stato esauriente e non aver offeso nessuno, ne tantomeno creato flame inutili voglio chiarire una cosa..

Questo è un forum su android privo di alcuna censura ( e spero rimarrà tale ) .. Per adesso non ho voluto censurare alcun post tuo scorianz..

Io non credo che i tuoi interventi (EX: Per maggiori informazioni andate qui ) siano da spammer.. Anzi, da un valore aggiunto a questo forum e un ovvio riscontro al tuo sito.

Tuttavia.. Non credo sia giusto scrivere di noi sul tuo forum e poi linkare qui la risorsa.. In questo momento stai scavalcando la linea dello spamming.

Non importa quale sia il contenuto del tuo post che linki... Se contiene approfondimenti e riflessioni personali benvengano i link.. MA credo che potevi scrivere quelle cose direttamente qui o quanto meno dedicarci 2 frasi in più !!!

Infatti, come potrai notare, ho dovuto citare parti del tuo post per poterti rispondere.. Altrimenti un utente, al vedere di questo mio messaggio, avrebbe capito ben poco di cosa parlavo..

Io credo che scrivere sul tuo blog sia ok, e risultasse troppo lungo dacci un riassunto che permetta al topic di continuare in una linea logica seguito da un eventuale link di approfondimento al tuo blog.

Saluti, Andrea

[Sebastiano]

Caro Cassius,
vatti a leggere la fonte citata nell'articolo! Quel post è vergognoso.

Prima di scrivere parla, e non ti "arricchire" di parole e di conoscenza alle spalle degli altri..

Il mio è solo un consiglio saggio.

[Cassius]

Non siamo noi a dire di non usare il browser android ma Charles Miller.
(computer security researcher che ha lavorato per l'NSA)

Dianne Hackborn (ingegnere framework di Google) il 3 febbraio dice che il problema è già risolto da tempo.
Penso che se devo credere a qualcuno, mi fido di Dianne, visto che la falla riguarda proprio il framework.
Ma questo nell'articolo non c'è scritto, perchè l'autore si è basato sul pezzo (a mio parere fazioso) di eadwriteweb.com .

Ha senso dirlo qualora ci sia una minaccia reale.. Quanto questa sia remota non ha importanza.. Noi abbiamo giocato un ruolo di informazione.. Abbiamo cercato una notizia, ci siamo informati abbiamo approfondito e abbiamo redatto alcune informazioni che ritenevamo importanti da discutere.

Credo che tu abbia centrato in pieno il punto.
La notizia mi sembra è davvero molto simile ad un articolo uscito su un altro sito ieri, dal quale ho tratto anch'io un post.
Che cosa si ottiene da un articolo del genere?
Spaventare le persone, senza dar loro una soluzione.
Se l'autore avesse approfondito l'argomento avrebbe potuto inserire la patch.
Questo è un problema che riguarda quasi esclusivamente l'utenza media americana, che è questo ciò su cui insiste Miller.
La differenza con l'utenza italiana è fondamentale, in quanto l'utente Android italiano ha o l'ADP1 o un G1 con immagine "taroccata".
In entrambi i casi ha un livello di conoscenza superiore all'utente medio americano, che ha giusto "il cellulare in tasca".
Se l'argomento fosse stato approfondito e si fosse voluto veramente aiutare gli utenti italiani, bastava scrivere un post due settimane fa parlando del problema e della sua soluzione.
Invece a me sembra che sia stato letto l'articolo di readwriteweb.com e si siano tratte le conclusioni senza prima verificare che cosa era veramente successo prima.

10 giorni fa era risolto sui repository e noi abbiamo sottolineato che però non è stata rilasciata nel rc33

In questo caso, invece di fare allarmismo, non bastava spiegare come risolvere il problema?

Di questo ti do atto. Tuttavia voglio ricordare che sebbene esistesse questa falla.. a causa dell'architettura android, lanciare un rm-rf / avrebbe si fatto dei danni ma non cosi gravi da rendere inutilizzabile il cellulare. Sebastiano alludeva alla disinformazione catastrofica che girava nella blogosfera in quel periodo.. ( sembrava la falla peggiore del secolo )

Con i privilegi di root puoi cancellare files fondamentali al sistema.
Inoltre puoi avere accesso a fastboot che è il metodo definitivo per uccidere un Dream se usato nel modo sbagliato.
Sicuramente è molto più grave di questa falla che interessa solo alcuni media del framework.

Inoltre la comunità, a suo tempo, si è comportata veramente male non contattando security@android.com e quindi rendendo impossibile il fix del problema ancora prima che un utente malintenzionato pensasse a come sfruttare il bug..

Non è stato un problema di comunità, ma di un'unica persona, e guarda un po' chi è?
Miller.

Questa falla è stata risolta ( se non erro ) con il primo rilascio della rc30 pochissimi giorni dopo del problema.

Ed anche questa falla è stata risolta dopo pochi giorni.
Il fatto che T-Mobile non abbia rilasciato la patch è un problema solo per l'utente medio _americano_.
Inoltre la scoperta di una falla non significa automaticamente l'uscita di un exploit.
Il secondo parere è di Mocana che, strano anche questo, venderà sul Market il suo anti-malware.

Non credo che la smentita sia la soluzione migliore.. Anzi.. Il problema esiste ( e sebbene esista una patch ) il 99% degli utilizzatori android (sebbene ancora purtroppo pochi ) non hanno la dimestichezza, la conoscenza, il tempo di applicare una patch.


Sperando di essere stato esauriente e non aver offeso nessuno, ne tantomeno creato flame inutili voglio chiarire una cosa..

Nessun problema, so che posso avere usato toni forti, ma secondo me quell'articolo ha trattato davvero con superficialità un argomento molto importante.

Questo è un forum su android privo di alcuna censura ( e spero rimarrà tale ) .. Per adesso non ho voluto censurare alcun post tuo scorianz..

Io non credo che i tuoi interventi (EX: Per maggiori informazioni andate qui ) siano da spammer.. Anzi, da un valore aggiunto a questo forum e un ovvio riscontro al tuo sito.

Tuttavia.. Non credo sia giusto scrivere di noi sul tuo forum e poi linkare qui la risorsa.. In questo momento stai scavalcando la linea dello spamming.

Cavolo, ma 3 post più sopra mi dici che va bene purchè siano contenuti interessanti, adesso non vanno più bene?
Lo faccio perchè l'alternativa è copiare il post direttamente nel forum, ma mi sembra un po' sciocco.

Mi dispiace se posso averti offeso con il mio post, ma non era diretto genericamente contro voi di Androidiani, ma contro questo specifico ultimo articolo.
Ho visto che avete spesso articoli di ottima qualità da voi stessi prodotti e anche il forum è molto animato.
Capisco che vuoi difendere l'autore, però secondo me sarebbe meglio se creaste un protocollo per far fronte a notizie del genere, per impedire articoli come questo che per me è e rimane un post superficiale basato su un articolo fazioso.
Insomma, bastava spendere 5 minuti per capire chi sono i peronaggi coinvolti nell'articolo.
Invece è stato subito creato un post e mandato un avviso via email.

Inoltre vuoi sapere perchè probabilmente T Mobile non ha ancora rilasciato la patch?
Perchè di exploit conosciuti ancora non esistono e la gravità si limita al framework, quindi è limitata alla possibilità di alzare/abbassare il volume e ascoltare su determinati media.
Quindi probabilmente ha voluto evitare ai suoi clienti il fastidio di dover effettuare l'ennesimo aggiornamento software.
Perfino l'articolo su cui penso si sia basato il vostro autore ha dovuto fare una mezza smentita dopo la risposta di Google...

[Cassius]

Caro Cazzius,
vatti a leggere la fonte citata nell'articolo! Quel post è vergognoso.

Per la serie "non facciamo flames"?
A quanto pare Andrea però ti ha editato!

[Andrea]

Non vorrei continuare questo simil-flame ma ci sono alcune cose che evidentemente sono state interpretate male.

1. La falla di ottobre è stata sopra valutata.. Se tu avessi redatto un blog come questo ti assicuro che la mole di blog/forum che sparlavano di quella fatidica falla ( CHE POI NON HA PRODOTTO NESSUN PROBLEMA ) era impressionante e la disinformazione era ancora maggiore.
2. Certo ti ho detto che non c'era nessun problema.. POICHE' davi un valore aggiunto al forum ed ogni topic dove hai postato il link era attinente .. MENTRE nell'ultimo caso hai voluto dare le tue lamentele direttamente sul tuo blog mentre DOVEVI darle qui. O quanto meno fare una lamentela qui e dare le tue motivazioni nel blog..
3. Tu stesso dici che l'argomento è importante ... ED è per questo motivo che abbiamo scritto quell'articolo e abbiamo avvisato con pochissime righe i nostri utenti. In questo modo chi era interessato avrebbe potuto informarsi meglio oppure Discutere sul forum
4. Noi non abbiamo consigliato a nessuno di smettere di usare il browser. Abbiamo preso svariati articoli online e abbiamo riunito le informazioni.
5. Ribadisco che la falla non è ancora risolta.
6. Miller si sarà pure comportato male ma non credo che l'NSA lo abbia assunto poichè un cretino qualsiasi che tira acqua al suo mulino. Inoltre se vai sulla pagina di wikipedia che ho linkato nel post precedente, potrai vedere che ha ricevuto anche alcuni riconoscimenti.
7. Se ci segui da spesso, avrai capito che la maggior parte delle volte gli argomenti che trattiamo sono di carattere informativo e non approfondito. Infatti a causa del tempo non riusciamo sempre a dare TUTTE le informazioni ed è qui che subentrano i singoli come te che pur restando al di fuori del forum; scrivendo cose utili vengono linkate volentieri. Secondo me avresti dovuto creare un articolo dove spiegavi come applicare la patch per noi poveri italiani..