Ciao ragazzi.
Non so se lo sapevate, ma c'è una falla di sicurezza sul browser.
Non so che tipo di problemi ci sono.. Però mi pareva giusto segnalarvelo.
Ecco il link:
Browser Bug and Fix? - xda-developers
Problemi Di Sicurezza Sul Browser?
Visualizzazione stampabile
-
13-02-09, 12:37Ma_tteoProblemi Di Sicurezza Sul Browser?
-
13-02-09, 13:13Cassius
E' vecchia, puoi leggere informazioni al riguardo qui:
Scorianz.com » VulnerabilitÃ* del browser di Android »
Cavolo, a forza di postare mi sembra di essere uno spammer! :p -
13-02-09, 14:25AndreaLol .. Importante è che siano informazioni utili e inerenti :)Quote:
Originariamente inviato da Cassius
Io non ho nulla in contrario!! -
13-02-09, 16:39Andrea
Il nostro Sebastiano ha creato un ottimo articolo per chi ne volesse sapere di più:
Androidiani: Grave security-bug di android nell’utilizzo del browser integrato | browser, bug -
13-02-09, 17:38CassiusGuarda che avete preso una cantonata micidiale.Quote:
Originariamente inviato da Andrea
Credo che non abbiate capito la situazione, leggete qui:
Scorianz.com » Android » -
13-02-09, 19:06AndreaNonCassius l'hai presa un po troppo alla lettera..Quote:
Originariamente inviato da Cassius
Tutto ciò che sebastiano ha riportato nel blog è reale.. se volessimo spulciarla per ogni singola frase (come hai fatto tu) ecco che ne esce.
Non siamo noi a dire di non usare il browser android ma Charles Miller.Quote:
Originariamente inviato da scorianz.com
(computer security researcher che ha lavorato per l'NSA)
Ha senso dirlo qualora ci sia una minaccia reale.. Quanto questa sia remota non ha importanza.. Noi abbiamo giocato un ruolo di informazione.. Abbiamo cercato una notizia, ci siamo informati abbiamo approfondito e abbiamo redatto alcune informazioni che ritenevamo importanti da discutere.Quote:
Originariamente inviato da scorianz.com
10 giorni fa era risolto sui repository e noi abbiamo sottolineato che però non è stata rilasciata nel rc33Quote:
Originariamente inviato da scorianz.com
Di questo ti do atto. Tuttavia voglio ricordare che sebbene esistesse questa falla.. a causa dell'architettura android, lanciare un rm-rf / avrebbe si fatto dei danni ma non cosi gravi da rendere inutilizzabile il cellulare. Sebastiano alludeva alla disinformazione catastrofica che girava nella blogosfera in quel periodo.. ( sembrava la falla peggiore del secolo )Quote:
Originariamente inviato da scorianz.com
Inoltre la comunità, a suo tempo, si è comportata veramente male non contattando security@android.com e quindi rendendo impossibile il fix del problema ancora prima che un utente malintenzionato pensasse a come sfruttare il bug..
Questa falla è stata risolta ( se non erro ) con il primo rilascio della rc30 pochissimi giorni dopo del problema.
Non credo che la smentita sia la soluzione migliore.. Anzi.. Il problema esiste ( e sebbene esista una patch ) il 99% degli utilizzatori android (sebbene ancora purtroppo pochi ) non hanno la dimestichezza, la conoscenza, il tempo di applicare una patch.Quote:
Originariamente inviato da scorianz.com
Sperando di essere stato esauriente e non aver offeso nessuno, ne tantomeno creato flame inutili voglio chiarire una cosa..
Questo è un forum su android privo di alcuna censura ( e spero rimarrà tale ) .. Per adesso non ho voluto censurare alcun post tuo scorianz..
Io non credo che i tuoi interventi (EX: Per maggiori informazioni andate qui ) siano da spammer.. Anzi, da un valore aggiunto a questo forum e un ovvio riscontro al tuo sito.
Tuttavia.. Non credo sia giusto scrivere di noi sul tuo forum e poi linkare qui la risorsa.. In questo momento stai scavalcando la linea dello spamming.
Non importa quale sia il contenuto del tuo post che linki... Se contiene approfondimenti e riflessioni personali benvengano i link.. MA credo che potevi scrivere quelle cose direttamente qui o quanto meno dedicarci 2 frasi in più !!!
Infatti, come potrai notare, ho dovuto citare parti del tuo post per poterti rispondere.. Altrimenti un utente, al vedere di questo mio messaggio, avrebbe capito ben poco di cosa parlavo..
Io credo che scrivere sul tuo blog sia ok, e risultasse troppo lungo dacci un riassunto che permetta al topic di continuare in una linea logica seguito da un eventuale link di approfondimento al tuo blog.
Saluti, Andrea -
13-02-09, 20:26Sebastiano
Caro Cassius,
vatti a leggere la fonte citata nell'articolo! Quel post è vergognoso.
Prima di scrivere parla, e non ti "arricchire" di parole e di conoscenza alle spalle degli altri..
Il mio è solo un consiglio saggio. -
13-02-09, 20:40CassiusDianne Hackborn (ingegnere framework di Google) il 3 febbraio dice che il problema è già risolto da tempo.Quote:
Originariamente inviato da Andrea
Penso che se devo credere a qualcuno, mi fido di Dianne, visto che la falla riguarda proprio il framework.
Ma questo nell'articolo non c'è scritto, perchè l'autore si è basato sul pezzo (a mio parere fazioso) di eadwriteweb.com .
Credo che tu abbia centrato in pieno il punto.Quote:
Originariamente inviato da Andrea
La notizia mi sembra è davvero molto simile ad un articolo uscito su un altro sito ieri, dal quale ho tratto anch'io un post.
Che cosa si ottiene da un articolo del genere?
Spaventare le persone, senza dar loro una soluzione.
Se l'autore avesse approfondito l'argomento avrebbe potuto inserire la patch.
Questo è un problema che riguarda quasi esclusivamente l'utenza media americana, che è questo ciò su cui insiste Miller.
La differenza con l'utenza italiana è fondamentale, in quanto l'utente Android italiano ha o l'ADP1 o un G1 con immagine "taroccata".
In entrambi i casi ha un livello di conoscenza superiore all'utente medio americano, che ha giusto "il cellulare in tasca".
Se l'argomento fosse stato approfondito e si fosse voluto veramente aiutare gli utenti italiani, bastava scrivere un post due settimane fa parlando del problema e della sua soluzione.
Invece a me sembra che sia stato letto l'articolo di readwriteweb.com e si siano tratte le conclusioni senza prima verificare che cosa era veramente successo prima.
In questo caso, invece di fare allarmismo, non bastava spiegare come risolvere il problema?Quote:
Originariamente inviato da Andrea
Con i privilegi di root puoi cancellare files fondamentali al sistema.Quote:
Originariamente inviato da Andrea
Inoltre puoi avere accesso a fastboot che è il metodo definitivo per uccidere un Dream se usato nel modo sbagliato.
Sicuramente è molto più grave di questa falla che interessa solo alcuni media del framework.
Non è stato un problema di comunità, ma di un'unica persona, e guarda un po' chi è?Quote:
Originariamente inviato da Andrea
Miller.
Ed anche questa falla è stata risolta dopo pochi giorni.Quote:
Originariamente inviato da Andrea
Il fatto che T-Mobile non abbia rilasciato la patch è un problema solo per l'utente medio _americano_.
Inoltre la scoperta di una falla non significa automaticamente l'uscita di un exploit.
Il secondo parere è di Mocana che, strano anche questo, venderà sul Market il suo anti-malware.
Nessun problema, so che posso avere usato toni forti, ma secondo me quell'articolo ha trattato davvero con superficialità un argomento molto importante.Quote:
Originariamente inviato da Andrea
Cavolo, ma 3 post più sopra mi dici che va bene purchè siano contenuti interessanti, adesso non vanno più bene?Quote:
Originariamente inviato da Andrea
Lo faccio perchè l'alternativa è copiare il post direttamente nel forum, ma mi sembra un po' sciocco.
Mi dispiace se posso averti offeso con il mio post, ma non era diretto genericamente contro voi di Androidiani, ma contro questo specifico ultimo articolo.
Ho visto che avete spesso articoli di ottima qualità da voi stessi prodotti e anche il forum è molto animato.
Capisco che vuoi difendere l'autore, però secondo me sarebbe meglio se creaste un protocollo per far fronte a notizie del genere, per impedire articoli come questo che per me è e rimane un post superficiale basato su un articolo fazioso.
Insomma, bastava spendere 5 minuti per capire chi sono i peronaggi coinvolti nell'articolo.
Invece è stato subito creato un post e mandato un avviso via email.
Inoltre vuoi sapere perchè probabilmente T Mobile non ha ancora rilasciato la patch?
Perchè di exploit conosciuti ancora non esistono e la gravità si limita al framework, quindi è limitata alla possibilità di alzare/abbassare il volume e ascoltare su determinati media.
Quindi probabilmente ha voluto evitare ai suoi clienti il fastidio di dover effettuare l'ennesimo aggiornamento software.
Perfino l'articolo su cui penso si sia basato il vostro autore ha dovuto fare una mezza smentita dopo la risposta di Google... -
13-02-09, 20:43CassiusPer la serie "non facciamo flames"? :pQuote:
Originariamente inviato da gufastian
A quanto pare Andrea però ti ha editato! -
13-02-09, 21:05Andrea
Non vorrei continuare questo simil-flame ma ci sono alcune cose che evidentemente sono state interpretate male.
- La falla di ottobre è stata sopra valutata.. Se tu avessi redatto un blog come questo ti assicuro che la mole di blog/forum che sparlavano di quella fatidica falla ( CHE POI NON HA PRODOTTO NESSUN PROBLEMA ) era impressionante e la disinformazione era ancora maggiore.
- Certo ti ho detto che non c'era nessun problema.. POICHE' davi un valore aggiunto al forum ed ogni topic dove hai postato il link era attinente .. MENTRE nell'ultimo caso hai voluto dare le tue lamentele direttamente sul tuo blog mentre DOVEVI darle qui. O quanto meno fare una lamentela qui e dare le tue motivazioni nel blog..
- Tu stesso dici che l'argomento è importante ... ED è per questo motivo che abbiamo scritto quell'articolo e abbiamo avvisato con pochissime righe i nostri utenti. In questo modo chi era interessato avrebbe potuto informarsi meglio oppure Discutere sul forum
- Noi non abbiamo consigliato a nessuno di smettere di usare il browser. Abbiamo preso svariati articoli online e abbiamo riunito le informazioni.
- Ribadisco che la falla non è ancora risolta.
- Miller si sarà pure comportato male ma non credo che l'NSA lo abbia assunto poichè un cretino qualsiasi che tira acqua al suo mulino. Inoltre se vai sulla pagina di wikipedia che ho linkato nel post precedente, potrai vedere che ha ricevuto anche alcuni riconoscimenti.
- Se ci segui da spesso, avrai capito che la maggior parte delle volte gli argomenti che trattiamo sono di carattere informativo e non approfondito. Infatti a causa del tempo non riusciamo sempre a dare TUTTE le informazioni ed è qui che subentrano i singoli come te che pur restando al di fuori del forum; scrivendo cose utili vengono linkate volentieri. Secondo me avresti dovuto creare un articolo dove spiegavi come applicare la patch per noi poveri italiani..
-
13-02-09, 21:26Andrea
Tratto da:
Google Android Bug Not as Bad as Feared, Security Researcher Says
Come si puo leggere sul link qui sopra possiamo carpire come Charles Miller abbia sopravalutato questo bug. Infatti l'exploit non intacca il browser bensi il media player con ovve differenti capacità di "danno".
PacketVideo lo sviluppatore del framework multimediale ha sviluppato un fix il 5 febbraio e rilasciato una patch per android solamente a 2 giorni di distanza dal fix.
Tuttavia come si puo leggere nell'articolo un dipendente google ha rilasciato una dichiarazione dove dice:
"Abbiamo fornito la patch a t-mobile quando ci è stata resa disponibile e il g1 verrà aggiornato a discrezione di t-mobile". -
13-02-09, 21:27Cassius
Ho scritto una cosa che è effettivamente fraintendibile:
quando ho scritto "so che posso avere usato toni forti, ma secondo me quell'articolo ha trattato davvero con superficialità un argomento molto importante.", con argomento molto importante non intendo questa falla, ma l'argomento della sicurezza informatica nella sua globalità.
Ora, io rimango della mia idea, piuttosto che dare una informazione incompleta e sensazionalistica (scoperta grave falla nel browser di Android) è meglio non darla.
Questo non tanto per non fare preoccupare inutilmente l'utente, ma per una cosa ben più importente.
Se un domani uscisse davvero una falla grave, l'utente che avesse visto questo post penserebbe "Beh, la volta scorsa non è successo nulla, posso aspettare" e non aggiornerebbe il suo sistema.
Un sistema compromesso può essere usato come base per ulteriori attacchi e questo quindi questo alla lunga si ripercuoterebbe su tutti noi.
Questa è la mia posizione, mi dispiace se non la condividete, ma non penso che io possa cambiare idea al proposito.
Spero di essermi chiarito, comprendo che vogliate difendere il vostro collega e sono sicuro che se non avessimo discusso in un forum ma davanti ad una birra ci saremmo già chiariti da un pezzo! ;) -
13-02-09, 21:39adminIo penso di essermi gia chiarito .. non biasimo e ovviamente rispetto l'idea di tutti.Quote:
Originariamente inviato da Cassius
Ci tengo a precisare comunque che nel momento in cui è stata redatta la notizia, molti altri forum ( Di visibilità mondiale ) avevano rilasciato la nostra stessa notizia.
Appoggiandoci su quanto detto in quei siti abbiamo quindi redatto una notizia che era di interesse comune e che in quel momento era effettivamente una falla grave.
Ad ogni modo credo che il punto centrale dove io discutevo è la tua dubbia eticità.. Preferivamo che ce lo scrivessi in privato invece di creare un angolo nel tuo blog dove ci hai richiamati .. Oltretutto per dare la visibilità a tutto hai inserito un commento nel blog e un post nel forum in modo che ogn nostro utente vedesse il tuo articolo..
Anche non citando il nostro blog per nome e cognome credo che il quoziente intellettivo dei lettori di questo forum sia abbastanza alto per capire che l'articolo nel tuo blog era diretto a noi. -
13-02-09, 21:40CassiusVisto che non era difficile trovare ulteriori informazioni?Quote:
Originariamente inviato da Andrea
Se l'autore dell'articolo avesse approfondito un po' di più la questione non ci sarebbe stata tutta questa confusione.
E' questo quello che cercavo di dirvi, mentre si può essere superficiali su argomenti generici, non si può farlo con la sicurezza!
L'articolo creato dal vostro autore è stato basato esclusivamente su un altro articolo che però era di parte!
Capisci perchè mi sono un po' arrabbiato leggendo il vostro articolo?
Seguo la sicurezza di Android giorno per giorno e mi leggendomi direttamente quello che hanno da dire gli ingegneri di Google, poi mi trovo un articolo di qualcuno che non si informa e crea panico, penso che ti saresti arrabbiato anche tu!
Inoltre 2 anni fa il gruppo che si occupa della sicurezza di Google si è iscritto su Full Disclosure, quindi se ci fosse stata davvero una falla grave, col cavolo che la notizia avrebbe avuto così poca risonanza!
Dare notizie in questo modo non solo fa preoccupare inutilmente gli utenti (ho ricevuto richieste di patch), ma mina anche la credibilità del vostro sito.
Spero che la diatriba sia finalmente conclusa! :D -
13-02-09, 21:56CassiusNon poteva "in quel momento" essere una falla grave, o una falla è grave o non lo è.Quote:
Originariamente inviato da admin
Non lo è.
Penso di doverti delle spiegazioni su questo.Quote:
Originariamente inviato da admin
Secondo me era importante avvisare immediatamente che quel post era sbagliato.
Visto che già altre volte su altri argomenti vi ho scritto in privato e poi non è stato scritto nulla, ho pensato che il modo più rapido e sicuro era commento + post.
Quindi lo scopo era proprio che ogni vostro utente potesse leggere l'articolo.
Ho messo il link al mio sito per poter dare una spiegazione completa sul fatto, visto che erano proprio le informazioni incomplete il problema.
Dal mio sito non guadagno nulla, nè collaboro con applicazioni che non siano libere, però almeno il riconoscimento della lettura articoli penso sia corretto che ci sia.
Il fatto che non abbia citato il nome del vostro blog non è fatto per i lettori del vostro blog, ma per quelli che non lo leggono (e quindi non sanno a chi mi riferisco), oltre che per non far rimanere traccia di questa cosa nelle vecchie news una volta che non sarà più attuale (un lettore del mio post tra un anno non saprà che mi riferivo a voi).Quote:
Originariamente inviato da admin
-
13-02-09, 22:00Andrea
Veramente le risorse al post sono state trovate dal sottoscritto..
Ti posso assicurare che al momento nel quale ho redatto le risorse dove prendere spunto c'èrano solo articoli tali e quali a questo.
Ad ogni modo l'ultima news da dove ho preso spunto per l'ultimo post è di 4 ore fa!!!
Tu parti dal presupposto che sia stato fatto un cattivo lavoro di redazione.. IN realtà ciò che denunci è tutto fumo e niente arrosto .. ..
Inoltre adesso che ci penso abbiamo visionato anche Il tuo stesso blog dove ecco cosa scrivi:
Che c'è predichi bene e razzoli male?Quote:
Il ricercatore Charlie Miller ha mostrato durante la conferenza Schmoocon un grave vulnerabilità del browser di Android che secondo lui permette di prendere ottenere controllo remoto sul browser e quindi di ottenere tutti i dati, compresi quelli inviati tramite protocolli criptati.
La cosa interessante è la vulnerabilità è conosciuta già da tempo, tanto che è già stata corretta nei repository.
Ma la correzione non è mai stata integrata nella versione di Android che equipaggia il ADP1/G1.
Probabilmente il motivo è che la vulnerabilità riguarda il sottosistema multimediale del browser che è stato sviluppato da PacketVideo e non da Google, quindi forse Google sta aspettando infomazioni da questa società.
Qui addirittura dici che possono venire intercettati protocolli come https e affini.. INoltre la falla è conosciuta da tempo. E tra l'altro non specifichi cose che invece noi abbiamo dato ai nostri utenti.
Non credo quindi che tu ti possa permettere di darci dei consigli di redazione sopratutto sulla completezza delle informazioni.
allo stato attuale hai inserito un update poichè avevi scritto pure tu una notizia non valida.. OPPURE era valida in quel momento e ti sei fatto ingannare dalla disinformazione che avvolgeva la blogosfera al momento della pubblicazione dell'articolo.
Ti rispondo direttamente ad un post che hai appena inviato :
Allora.. Come mai hai scritto su un vecchio post che era grave e adesso non la ritieni tale?Quote:
Originariamente inviato da Cassius
-
13-02-09, 22:31Cassius
Rileggi quello che ho scritto e che tu hai correttamente riportato:
"Il ricercatore Charlie Miller ha mostrato durante la conferenza Schmoocon un grave vulnerabilità del browser di Android che secondo lui permette di prendere ottenere controllo remoto sul browser e quindi di ottenere tutti i dati, compresi quelli inviati tramite protocolli criptati."
Ho scritto che era una sua opinione, non ho mandato email di emergenza, nèatto titoli del tipo "Scoperta grave vulnerabilità".
Ho scritto che era una sua opinione perchè anch'io all'inizio ero incorso nel'errore di riportate le sue parole.
Poichè non la ritenevo una notizia importante (l'ultima notizia da Android Security che avevo al riguardo era di una settimana prima e diceva che non c'erano problemi) l'argomento non sarebbe più stato ripreso se non fossi stato costretto a smentire io la notizia.
Quel post ha avuto la stessa importanza (ed infatti ne è stato "sommerso") di:
- "Quante versioni dell’ HTC Dream esistono?"
- "Cos’è Android Holiday?"
- "Installare l’update Holiday"
Ho dovuto riprendere l'argomento perchè avevate creato allarmismo con il vostro post.
Iniazialmente volevo fare solo un update del mio post precedente, ma poi ho pensato che proprio prchè era "sommerso", avrei dovuto crearne uno nuovo perchè potesse essere in evidenza.
Visto che insistavate a dire che la situazione era grave, ho fatto un secondo update al post della smentita per spiegare meglio la situazione proprio perchè se da un lato volevo smentire questi rumors, dall'altra volevo aspettare che Google facesse la prima mossa confermando che non era una falla grave.
Penso che non sia necessario che faccia un ulteriore update per spiegare che la vulnerabilità è del framework, ma il modo in cui potrebbe essere sfruttata è attraverso il browser.
Ma al momento che io sappia non esistono exploit.
Un altra notizia simile a questa è stata quando ho scritto il post "Calmate i bollenti spiriti…" in cui affermavo che forse speculare così tanto su cellulari che non usciranno mai può creare entusiasmi inutili, ma quella volta non c'è stata nessuna rivolta.
Eppure anche quello era un articolo di critica, nei confronti dei blog che ogni 2 giorni annunciavano nuovi cellulari che poi non sarebbero mai usciti.
Spero che la cosa si concluda qui visto che non mi piace come sei passato a toni personali.
Io non ho niente contro le smentite in generale quando alla base dell'articolo originario c'è un lavoro fatto bene.
Un paio di giorni fa ho avuto un problema con l'aggiornamento dell'ADP1 che ha fatto girare la testa anche a quelli di Google.
Inizialmente suggerivo di non installare l'aggiornamento, ma dopo qualche ora la situazione si è chiarita (grazie a Google, non a me) ed ho ho avvisato che la sistuazione era ok.
Quello che però non mi è piaciuto è stato che in questo caso invece si sarebbe potuto capire fin dall'inizio che non serviva creare allarmie, mentre invece ci si è basati su un articolo unico come fonte (penso sarà la 5 volta che lo scrivo in questo topic).
La stessa cosa era successa al momento del lancio del G1 quando un sito ha scritto che c'erano un milione e mezzo di preordini e tutti i blog hanno ricopiato la notizia senza verificare la fonte.
Ho letto i nostri ultimi post, e siamo passati entrambi a cavillare l'uno sui post dell'altro quindi penso che sia meglio che ci fermiamo prima del peggio! :)
Se vuoi parlare ulteriormente dell'argomento hai la mia mail, ti dò tutta la mia disponibilità perchè mi dispiacerebbe rovinare il rapporto per un post! -
13-02-09, 23:15Andrea
Rispondo solamente ad una cosa che continua ad essere fraintesa.. noi redattori del blog utilizziamo almeno 3 fonti per redarre le notizie. E ne visioniamo ancxhe altre in molte occasiobni...
Io direei di chiuderla qui.. e la prossima volta ti invito ad avvisare prima noi di un eventuale imprecisione.. come è partita la mail fa presto pure a partire una smentita...
È tutto a presto ! -
13-02-09, 23:15Andrea
Rispondo solamente ad una cosa che continua ad essere fraintesa.. noi redattori del blog utilizziamo almeno 3 fonti per redarre le notizie. E ne visioniamo ancxhe altre in molte occasiobni...
Io direei di chiuderla qui.. e la prossima volta ti invito ad avvisare prima noi di un eventuale imprecisione.. come è partita la mail fa presto pure a partire una smentita...
È tutto a presto ! -
16-02-09, 13:31Ma_tteo
Madonna che casino che ho scatenato.. :) Non pensavo...
La prossima volta starò più attento su cosa pubblico .. :P
