Архив метки: Android

Использование Android смартфона без учётки Google

Добавить комментарий

Использование Android смартфона без учётки Google

Использование Android смартфона без учётки Google. 9 сентября у Google был сбой при подтверждении новых аккаунтов из России по СМС. 10 сентября сбой устранили, но осадочек остался. 🤔

Я в это время как раз переезжал на новый Android смартфон Xiaomi. В качестве эксперимента я решил вообще не аутентифицироваться в нём с помощью Google аккаунта.

В принципе, жить можно. 🙂

🔹 Установке "skip" не мешает.

🔹 Сервисы Google (такие как Google Lens, TTS или голосовой ввод в Gboard) работают и без аутентификации.

🔹 А как без Google Play? Все российские приложения есть в RuStore (+ Duolingo и Telegram 😉), привычные мне западные (Voice Aloud Reader и Total Commander) я поставил через Xiaomi GetApps. Насколько я понимаю, приложения в GetApps могут попадать без ведома вендора. 🤷‍♂️ Не может ли там быть чего-то зловредного под видом популярного приложения? Xiaomi заверяют, что делают все необходимые проверки. Но, имхо, количество приложений из GetApps лучше минимизировать.

Про уязвимость Jetpack Navigation

Добавить комментарий

Про уязвимость Jetpack Navigation

Про уязвимость Jetpack Navigation. В марте мои коллеги из PT SWARM выложили ресёрч по уязвимости Android Jetpack Navigation, которая позволяет открыть произвольный экран внутри приложения, в том числе в обход экрана аутентификации. 😨 Google уязвимость не признали (поэтому CVE нет 🤷‍♂️) и ограничились рекомендациями в документации. 😏

📃 Вчера команда экспертов из Стингрей презентовала на Хабре подробный обзор этой уязвимости с примерами и демонстрациями. 👍

📊 Кроме того, они проверили 1000 приложений разных категорий из публичных магазинов и выяснили, что 21% из них используют библиотеку Jetpack Navigation и могут быть уязвимы. Подробную статистику отдают на сайте.

Хороший повод поинтересоваться у ваших разрабов мобильных приложений под Android используют ли они Jetpack Navigation и знают ли об этой уязвимости. 😉

Заодно подпишитесь на ТГ канал Mobile AppSec World - лучший канал по мобильному аппесеку от Юры Шабалина и команды Стингрей.

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком

Добавить комментарий

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком

Немного про возможности разблокировки смартфонов на примере кейса с пенсильванским стрелком.

🔹 Bloomberg сообщает, что у него была новая модель Samsung, работающая под Android.

🔹 Для разблокировки использовалось ПО компании Cellebrite. Это израильская компания разрабатывает инструменты для сбора, проверки, анализа и управления цифровыми данными. Компания довольно известная. Несколько лет назад наделала много шума их пикировка с разработчиками мессенджера Signal (обе компании обвиняли друг друга в небезопасности продуктов). 🍿😏

🔹 Эксплуатировалась ли 0day уязвимость для получения доступа к устройству? Непонятно. Но есть признаки, что, возможно, и да. Bloomberg пишет, что ПО Cellebrite для разблокировки смартфонов, которое было в распоряжении ФБР, с задачей не справилось. Но эксперты Cellebrite оказали расширенную поддержку и предоставили некоторое новое ПО, которое всё ещё находится в разработке. 🤔

В итоге разблокировка заняла всего 40 минут. 🤷‍♂️

Вчерашнюю статью про "сравнительно более безопасную" Apple iOS обновили

Добавить комментарий

Вчерашнюю статью про "сравнительно более безопасную" Apple iOS обновили. Пассаж про "сравнительно более безопасную" убрали вовсе. Добавили тезисы, чтобы "расставить однозначные акценты":

1. Нет сомнений в необходимости отказа от использования устройств Apple в госсекторе и на объектах критической информационной инфраструктуры и в связи компании Apple с разведсообществом США.
2. Apple и Google нарушают собственные политики сбора данных и конфиденциальности.
3. Выход из ситуации - переход на российские устройства с сертифицированными российскими мобильными ОС.
4. Российские устройства и мобильные ОС (например «Аврора») готовы для решения базовых задач бизнеса и позволяют заменить иностранные устройства и ОС.

Имхо, стало лучше. 👍🙂

Вышла занимательная статья про то, что переход с iPhone на китайские Android-смартфоны это так себе идея с точки зрения безопасности

Добавить комментарий

Вышла занимательная статья про то, что переход с iPhone на китайские Android-смартфоны это так себе идея с точки зрения безопасности

Вышла занимательная статья про то, что переход с iPhone на китайские Android-смартфоны это так себе идея с точки зрения безопасности. Если резюмировать написанное, то там про то, что у Apple всё централизовано, а у китайских производителей смартфонов сплошной разброд и шатание:

1. Уязвимости они закрывают хуже и медленнее.
2. Телеметрии и персональных данных собирают больше.
3. В магазинах приложений там всякие "фонарики" со зловредной функциональностью.
4. APK-шки разрешают ставить скаченные непонятно откуда.
5. Иногда могут предустановленные на заводе бэкдоры содержать.
6. Разнообразных драйверов больше, соответственно уязвимостей в них больше.
7. Для Android сформировался чёрный рынок малварей.

В целом, со всем можно согласиться, но есть 2 передёргивания:

1. Игнорируется тот факт, что Apple обвинили в намеренном внесении бэкдора. После этого называть Apple iOS "сравнительно более безопасной мобильной ОС" это такоё себе. Ну правда, о какой безопасности говорить, если вендор специально бэкдоры вставляет, которые используются в таргетированных атаках.
2. Сравнивать надо сравнимое. Устройства на Apple iOS надо сравнивать с устройствами какого-то конкретного вендора, а не с условным китайским ноунейм вендором Android-смартфонов, навешивая на него проблемы из всех кейсов за последние 15 лет. Если брать топовых вендоров, таких как Xiaomi и Huawei, и их актуальные модели, то там с безопасностью всё совсем не так плохо.

Хотя с тем, что от регуляторов желательно было бы видеть не только рекомендацию отказываться от устройств Apple, но и рекомендацию переходить "на российские мобильные устройства и операционные системы", я полностью согласен. Было бы также здорово, если бы эти устройства появились уже в свободной продаже для физиков.

Один очень популярный западный мессенджер заблокировал возможность делать голосовые вызовы

Добавить комментарий

Один очень популярный западный мессенджер заблокировал возможность делать голосовые вызовы
Один очень популярный западный мессенджер заблокировал возможность делать голосовые вызовы

Один очень популярный западный мессенджер заблокировал возможность делать голосовые вызовы. Пишет, что ему нужно выдать дополнительные права, чтобы совершать телефонные звонки и управлять ими. 🤨 А с чего бы это вдруг? И нафига?

Ну вот вы знаете, вдруг вы будете по телефону говорить, а мы вас голосовым звонком из мессенджера побеспокоим в этот момент, не хорошо же будет, да? Что? Вам пофиг и пусть себе беспокоит? Нет-нет, это не опционально и не обсуждается. Права нужно выдать обязательно, без этого мы больше не разрешаем делать голосовые вызовы. Эти права нужны нам исключительно для того, чтобы мы могли сделать вам удобнее, верьте нам!

Нда, активное развитие ОС Аврора ожидать теперь не стоит

Добавить комментарий

Нда, активное развитие ОС Аврора ожидать теперь не стоит.

Ъ пишет: "Минцифры исключило средства в размере 22 млрд руб., которые планировалось направить на развитие ОС «Аврора» в ближайшие два года, из своей программы цифровой трансформации. Средства предназначались на субсидирование разработки приложений для ОС и адаптации под нее мобильных устройств, но в правительстве решили, что это нецелесообразно." До этого также срезали финансирование разработки и производства устройств.

Печально. Поглядим конечно, что теперь выйдет из РосАндройда. Но вряд ли что-то путное и вряд ли что-то безопасное.