Harald Brombach (digi.no) Skrevet 8. september 2016 Del Skrevet 8. september 2016 Krever ingen programmering for å gjøre skade.Android-enheter kan krasjes med et enkelt bilde Lenke til kommentar
quantum Skrevet 8. september 2016 Del Skrevet 8. september 2016 Blir spennende å se hvor lang tid det tar før alle leverandørene av Androidtelefoner klarer å få distribuert oppdateringen ... Ja, det er bare å velge telefon fra en leverandør som faktisk gidder å distribuere oppdateringer, men hvor mange kjøpere av Android-telefoner vet de må tenke på det, da? Lenke til kommentar
Horten Market Skrevet 8. september 2016 Del Skrevet 8. september 2016 Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. 2 Lenke til kommentar
Spoki0 Skrevet 8. september 2016 Del Skrevet 8. september 2016 Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. Sånn bortsett fra at det ikke er begrenset til å åpne vedlegget i epost. Du må bare parse JPEG bilde med skadelig EXIF metadata via standardbiblioteket i Android. 1 Lenke til kommentar
quantum Skrevet 9. september 2016 Del Skrevet 9. september 2016 (endret) Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. I drømmeland, kanskje. I virkeligheten er det ikke like enkelt ... Endret 9. september 2016 av quantum 2 Lenke til kommentar
Gjest Slettet-OvFPdyiZ Skrevet 9. september 2016 Del Skrevet 9. september 2016 Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. Dette var kanskje sant en gang i Androids tidlige barndom, men ting endrer seg. Påstår du virkelig at 82,8% av smarttelefonbrukere (Android markedsandel i 2015, tall fra IDC) skjønner at de ikke skal åpne en e-post som inneholder et bilde? Ser de i det hele tatt om e-posten inneholder et bilde så lenge det ikke ligger som et vedlegg (om e-posten er i HTML-format kan bildet være lagret på en hvilken som helst webserver)? Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc... Lenke til kommentar
ATWindsor Skrevet 9. september 2016 Del Skrevet 9. september 2016 Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. Er du morsom? Å ikke åpne et bilde er en latterlig ting å kreve fra folk. AtW 1 Lenke til kommentar
KaiO Skrevet 9. september 2016 Del Skrevet 9. september 2016 Ja, det er bare å velge telefon fra en leverandør som faktisk gidder å distribuere oppdateringer, men hvor mange kjøpere av Android-telefoner vet de må tenke på det, da? Det er vel et større problem at du som mobilkjøper er prisgitt leverandøren. (Og om du i det hele tatt kan finne informasjon om hvilke leverandører som pusher oppdateringer!) Jeg elsker Linux, men Android... Lenke til kommentar
Trolliucuz Skrevet 9. september 2016 Del Skrevet 9. september 2016 Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc... Sikkerhetsuppdateringer kommer via Google Play nå for tiden uavhengig av mobil-leverandør så din påstand er direkte feilaktig. Lenke til kommentar
IM0T45WW Skrevet 9. september 2016 Del Skrevet 9. september 2016 Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. I'll take the bait. Jeg er teknolog, men ikke programmerer. På hobbybasis tukler jeg med linux servere, raspberry pies, programmering i diverse språk, elektronikk, nettverk, HTPC. Jeg har lagt in cyanogenmod på alle mine telefoner og nettbrett og hoster min egen epost og andre skytjenester hjemme fordi jeg ikke stoler på ting som er gratis, etc. etc. etc. Frem til i dag så trodde jeg at bilder var trygge å åpne uansett kilde (Selvsagt ikke lenker til bilder, men bilder som er vedlegg) Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 9. september 2016 Del Skrevet 9. september 2016 (endret) Som programmerer forstår jeg ikke hvorfor OS'et skulle kunne kjøre kode som ligger i Exif. Greit nok at ting kræsjer, har ikke programmeren (av prosessen som avleser data) sett for seg en gitt kombo av data kan det skje. Slikt kalles en bug. Men fra program/system-kræsj til faktisk å eksekvere noe ukjent er det et godt stykke. Endret 9. september 2016 av Slettet-Pqy3rC Lenke til kommentar
Harald Brombach (digi.no) Skrevet 9. september 2016 Forfatter Del Skrevet 9. september 2016 Som programmerer forstår jeg ikke hvorfor OS'et skulle kunne kjøre kode som ligger i Exif. Greit nok at ting kræsjer, har ikke programmeren (av prosessen som avleser data) sett for seg en gitt kombo av data kan det skje. Slikt kalles en bug. Men fra programkræsj til faktisk å eksekvere noe ukjent er det et godt stykke. Tror noen med litt mer detaljkjennskap til dette skal få gi et mer utfyllende svar, men jeg oppfatter det ikke som at det er kjørbar kode i Exif som forårsaker krasjen. Men detaljene rundt dette er få, bortsett fra at det dreier seg om korrumpering av minnet: https://en.wikipedia.org/wiki/Memory_corruption Lenke til kommentar
Horten Market Skrevet 9. september 2016 Del Skrevet 9. september 2016 Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. Jeg innrømmer det: Dette skrev jeg for å terge folk. Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 9. september 2016 Del Skrevet 9. september 2016 (endret) Men detaljene rundt dette er få, bortsett fra at det dreier seg om korrumpering av minnet: https://en.wikipedia.org/wiki/Memory_corruption Ja, har du ikke stålkontroll i C vil du lett kunne lese utenfor variablene dine. Dvs. lese (eller forsåvidt skrive til) variabelverdier som ikke finnes. Slike meldinger fra os'et har vel til og med de fleste brukere opplevd; "Read of invalid adress ...". Det å utnytte en slik bug til faktisk å kontrollert kunne eksekvere ønsket kode er imidlertid et langt steg videre i kompleksitet. Du må ihvertfall ha kildekoden til systemet hvor feilen inntreffer. Så skal må klare å overskrive data på adressen til et aller annet funksjonskall som står for tur til å bli blir utført (en god posjon flaks med adresseringene behøves). Sånt blir vel lett "journalist brøling" uten egentlig noengang å kunne bli utført i praksis. Endret 9. september 2016 av Slettet-Pqy3rC Lenke til kommentar
quantum Skrevet 11. september 2016 Del Skrevet 11. september 2016 (endret) Ja, det er bare å velge telefon fra en leverandør som faktisk gidder å distribuere oppdateringer, men hvor mange kjøpere av Android-telefoner vet de må tenke på det, da? Det er vel et større problem at du som mobilkjøper er prisgitt leverandøren. Øh? Whatever ... Endret 11. september 2016 av quantum Lenke til kommentar
Bjørn A. Johansen Skrevet 12. september 2016 Del Skrevet 12. september 2016 Folk som ikke skjønner at de ikke skal åpne vedlegg fra ukjente kilder, har ikke android-telefon. De trenger noe som er enklere å bruke, bare så enkelt at det fungerer, liksom. Men kjente kilder er helt trygge da? Ingen medarbeidere, venner, eks-kjærester, konkurrenter, foreldre til klassekameratene til kidsa, fake nyhetsbrev eller noe sånt som kan tenkes å utnytte noe sånt? Lenke til kommentar
hekomo Skrevet 12. september 2016 Del Skrevet 12. september 2016 Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc... Sikkerhetsuppdateringer kommer via Google Play nå for tiden uavhengig av mobil-leverandør så din påstand er direkte feilaktig. Det var jeg ikke klar over. Er det denne du tenker på? (Kilder er et fint dyr.) Lenke til kommentar
Horten Market Skrevet 14. september 2016 Del Skrevet 14. september 2016 Men kjente kilder er helt trygge da? Ingen medarbeidere, venner, eks-kjærester, konkurrenter, foreldre til klassekameratene til kidsa, fake nyhetsbrev eller noe sånt som kan tenkes å utnytte noe sånt? Nei, det er klart. Du kan ikke engang stole på kona. Kanskje snekkeren hacker seg inn, og plutselig sitter du der med veneriske virus. Lenke til kommentar
Gjest Slettet-OvFPdyiZ Skrevet 21. september 2016 Del Skrevet 21. september 2016 Om jeg skal komme med noen generaliseringer selv vil jeg kanskje påstå at folk som er halvveis sikkerhetsbevisste har valgt en leverandør som faktisk patcher telefonene, men for den store hop er ikke dette tilfelle. De har gamle Samsung-enheter, HTC-telefoner som får oppdateringer et halvt år etter hovedversjon og aldri en patch etter det, Sony-telefoner som kommer på markedet med gammel versjon et halvt år etter den nye er lansert etc... Sikkerhetsuppdateringer kommer via Google Play nå for tiden uavhengig av mobil-leverandør så din påstand er direkte feilaktig. Det var en kjekk drøm Google hadde, og de klarer å gjøre mange fikser den veien. Det er dessverre en del feil som ligger dypere enn det Play Services når. Det er derfor Google kjører ut systemoppdateringer hver måned, som fikser feil og mangler de ikke kan ta på annet vis. Det er ikke for moro skyld de dedikerer såpass med ressurser på det. Nok et argument for å bruke Nexus-telefoner heller enn Samsung, LG, HTC etc, i alle fall inntil de også begynner å tilby patchene Google sender dem. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå