Технический директор Copperhead: BlackBerry Priv неустойчив к атакам
BlackBerry, выпустив свой первый Android-смартфон под названием Priv, сделала особенный упор на то, что он является наиболее защищённым устройством в экосистеме Google, поэтому потребителям, которым важны приватность и безопасность, стоит обратить внимание именно на Priv. Подобная рекламная кампания вызвала недоумение у сообщества Android- и Linux-разработчиков, один из которых, Дэниэл Майкэй, раскритиковал канадскую компанию.
Майкэй является старшим техническим директором компании Copperhead (также канадской, как и BlackBerry), занимающейся разработкой CopperheadOS — Android-совместимого дистрибутива на базе CyanogenMod с многочисленными улучшениями безопасности на уровне ядра и пользовательского окружения. В интервью изданию Tom’s Hardware он заявил, что большинство изменений от BlackBerry, внесённые в Android, не позволяют помешать злоумышленникам эксплуатировать многочисленные уязвимости системы. По его мнению, несмотря на то, что система Android 6.0 Marshmallow далека от стандартов безопасности, которые приняты в некоторых GNU/Linux-дистрибутивах, даже она надёжнее, чем модифицированный дистрибутив Android Lollipop, установленный на BlackBerry Priv. Майкэй заявил, что пользователям, беспокоящимся о своей безопасности, стоит смотреть в сторону смартфонов Nexus, а не Priv.
Раскрывая свою позицию, разработчик пояснил, что BlackBerry зачем-то внедрила функцию PAX_PAGEEXEC, которая бессмысленна для большинства Android-смартфонов, так как она некорректно поддерживается ARM-архитектурой процессоров. Кроме того, по его словам, в опубликованных исходных кодах ядра Linux для BlackBerry Priv была обнаружена реализация мандатного управления доступом, хотя в этом нет никакой необходимости, так как согласно архитектуре Android эти меры безопасности обеспечиваются на уровне пользовательского окружения политиками SELinux, и таким образом в BlackBerry просто увеличили размер ядра, проделав лишнюю работу. Кроме того, в BlackBerry не озаботились значительными улучшениями в среде исполнения Android, поэтому у системы нет никакой возможности противостоять попыткам использовать удалённое выполнение кода (RCE-эксплойты), которое возможно во многих уязвимостях Android, опубликованных Google. Сама BlackBerry обещала ежемесячно исправлять уязвимости по образу Microsoft в Windows, минуя даже стадию верификации операторами, но отказалась называть какие-либо сроки обновления до Android 6.0.
По мнению Майкэя, стремление BlackBerry к выпуску безопасных устройств похвально, но текущая реализация создаст у потребителей, в том числе корпоративных и государственных, лишь ложное чувство защищённости. По его словам, Google за год с выпуска Lollipop не сидела сложа руки, и Marshmallow значительно крепче к атакам, чем дистрибутив, установленный на смартфон Priv. Впрочем, как утверждает специалист, Android 6.0 далеко не та система, которая создаст значительные проблемы квалифицированным злоумышленникам.
Майкэй утверждает, что корпорации необходимо значительно улучшить ASLR, который в нынешней конфигурации присутствует лишь номинально, и уже опубликованные эксплойты для Stagefright обходят её без особых проблем, поэтому будущие уязвимости всегда будут создавать угрозу выполнения хакером произвольного кода с повышением привилегий. Кроме того, разработчик CopperheadOS рекомендует Google как можно скорее обеспечить переход Android на более современные версии ядра Linux, так как версия текущая под номером 3.10 слишком устарела, и к ней невозможно применить патчи GrSecurity, которые способны помочь Android противостоять эксплуатации уязвимостей нулевого дня, особенно в условиях проблемы обновлений, где многие смартфоны не получат никогда никаких обновлений по разным причинам. Тем не менее, Майкэй считает, что реализация мандатного управления доступом в Android значительно надёжнее, чем аналогичная технология в Apple iOS*.
* — реализацией SELinux в Android занимаются Google, Intel, Агентство Национальной Безопасности США (US NSA) и Департамент Обороны США (US DoD) под руковдством Стивена Смолли из NSA.
Источник: OSzone.net
Комментарии
Вы должны быть зарегистрированы, чтобы оставить комментарий
Зарегистрируйтесь, это просто!
Зарегистрироваться
Уже зарегистрированы?
Войти сейчас
Т.к основная ось Дроид то и удивляться тут нечему. Пусть пилял дальше дроид на роднос ОС и будем им счастье. А ещё лучше популяризировать через авто концерны предлагая в мультимедийные головы и как главную ось в авто.
Ожидаемый конфуз
viklamist, Каждый свое болото хвалит, это же прямой конкурент BB
До тех пор Прив не взломан, говорить о том, что его легко и просто взломать, только лаять на слона.
Взломают, тогда да, можно уже прямо сказать, вот тут, тут и тут BB облажались.
Если взломать так легко и просто, чтож он на интервью не пришел с взломанным Привом, чтоб подтвердить свою авторитетную точку зрения реальным примером.
Новая шляпа в андройд смартах. Интересно в прив это прокатит?
http://m.cnews.ru/news/top/2015-11-13_uyazvimost_v_google_chrome_pozvolyaet_kontrolirovat?
Невозможно за год перелопатить чужую операционку и кардинально улучшить безопасность.. Пауза и весь этот туман - будет андроид или не будет - были нужны, чтобы доделать сам телефон и хоть поверхностно обкатать "новую" ОС. Было бы слишком смешно и позорно, если бы столь распиаренный девайс от супер-пупер-фирмы глючил бы и вис, как самый дешевый нонейм из Поднебесной. Вот эти крупные косяки, видимо, и чистили весь год.
О безопасности мало кто задумавается. Сказали, что самый безопасный, и все, все захлопали в ладоши. Для большинства безопасность сродни стразику на телефоне. Хоть и непонятно, что такое и вообще нафиг не нужна, но с ней, вроде, прикольнее, чем у соседа.
То, что уводят деньги через мобилы - это, простите, безответственность пользователя. Знаешь, что система с дырами - не ставь моб. банки и не делай платежи с помощью СМСок. Неужели настолько горят эти платежи, что невозможно потерпеть и дойти до стац. компьютера?
блин да тысячи хакеров сидели и ждали выхода этого смартфона что бы ломануть его и про пиариться :) и у всех выходят патчи и у ios и у андройда, первый блин и не комом
Дэниэл Майкэй чуток попиарился, да и помоев ливанул на конкурентов.
diez,
Не стоит забывать "бесконечные" новости о нахождении новый дыр и лазеек для злоумышленников, находящиеся в местном маркете заражённые прилоги и возможность занести СПИД методом кликанья на пришедшую в sms ссылку, которая интригует своим содержанием. А учитывая популярность обсуждаемой нами оси - можно предположить, что большинству неохота заморачиваться в деталях доп. безопасности, т.к. прошлые кнопочные телефоны были просты и безопасны до безобразия. Будь я обычным среднестат. обывателем со своими семейными/житейскими проблемами - не стал бы углубляться в проблемы "тыжпрограммистов".
На фоне всего этого "безбразия" - closed-source системы ощущаются как эволюционная ступень, при которой пердолингу уделяешь минимум личного времени
Мне кажется, что Чен уже забил на ББОС, неспроста он рассказал о планах на выпуск андроид смартфонов в будущем…
Сейчас куда важнее ЧТО будет делать Мистер Чен, если Priv провалится?
Ведь доверие клиентов подорвется, если кто-то покажет миру что Priv, телефон от самой BlackBerry - можно взломать
Хватит ли сил вернуться обратно на свою ОС и развивать её, а не чужую ОС.
Я чего-то подобного и ожидал. С самого начало было совершенно ясно, что андроид в качестве безопасной оси не годится…
Чен снова проиграл: вместо того, чтобы развивать собственную ось, которая при желании может утереть нос всем существующим ОС, он выбрал лёгкий путь, который завёл компанию в ещё большие дебри. Даже аппаратная клавиатура, которая должна была стать главной фишка телефона, которая бы отличала его от соперников, стала балластом…
Жаль, конечно. Мне почему-то очень хотелось, чтобы именно прив вернул компании прежнюю славу.
nedvorowoy, да нет, просто ставили левые апк с левых сайтов, более чем уверен. без рут доступа вообще вряд ли что может случиться ужасного, если ничего не разрешать самому
diez,
Мошенники за год, с апреля 2014 года по апрель 2015 года, через интернет-банки украли со счетов россиян 99 млн руб.
Большую часть из этой суммы (61 млн руб.) преступникам удалось похитить с помощью троянских программ — вирусов, которыми заражаются мобильные устройства, работающие на операционной системе Android.
http://money.rbc.ru/news/561f97d29a7947e8b332250d
Создали тренд "безопасности" и стригут на этом деньги. Народ ходит с рутованными андроидами с приложением СБербанка ( патченное, где не урезан функционал) и никого не взламывают. Вас взломают, если только сами дадите на это разрешение, подтвердите действие, да и то не факт.
МОжет и безопасные телефоны нужны, но это для 0,000000000001% людей. Да и что значит безопасные, в чем безопасность выражается?
Кого хоть реально взломали из Ваших знакомых и родственников?