Názor ke zprávičce Chyba v MediaServeru systému Android od ean - Takze to shrneme: Tvrdil jsem, ze Android 5...
-
ean (neregistrovaný)
Takze to shrneme: Tvrdil jsem, ze Android 5 zavedl SELinux v enforcing modu a tim vyrazne zvysil bezpecnost. (Aplikace jsou v sandboxu a mohou delat jen to, co je jim dovoleno.) Vy jste tvrdil, ze SELinux je deravy jako reseto. Ja jsem po vas chtel, abyste uvedl CVE alespon jedne chyby v androidi implementaci SELinuxu, protoze jsem si zbezne prosel popisy aktualnich chyb a nikde jsem popis takove chyby nevidel. Vy jste uvedl Stagefright bug. To je ale chyba v multimedialni casti Androidu. Vami odkazovane dokumenty nepopisuji, ze by ta chyba umoznila obejit pravidla SELinuxu u Androidu 5 a vyssim. Takze jeste jednou: az mi uvedete CVE chyby v implementaci SELinuxu, pak uverim, ze SELinux je deravy. Pokud mi jich uvedete vic, pak uverim, ze je SELinux je deravy jako reseto. V opacnem pripade jen prekrucujete fakta.
Ad: BTW ten text jste přepastil ze stránky, kde jste měl ta CVE, po kterých jste se ptal.
Ano, pouzil jsem https://blog.zimperium.com/how-to-protect-from-stagefright-vulnerability/.
Ad: Workaround pro Stagefright bug neexistuje. Možná může pomoci antivirus.
Workaround je popsany na te strance, ze ktere jsem prekopiroval doporuceni. Jmenovite: "Disable Auto-fetching of MMS" nebo pouzit "Zimperium’s advanced mobile threat protection solution".
Ad: Navíc největším problémem jsou ty stovky milionů zařízení se starými verzemi, které zůstanou děravé. To Google v žádné nové verzi nenapraví.
Souhlasim. Google podporuje jen posledni tri verze Androidu. V soucasne dobe jsou to 4.4, 5.0 a 5.1 (http://source.android.com/devices/tech/security/overview/updates-resources.html). Na rozdil od vas si ale myslim, ze problem je hlavne na strane vyrobcu mobilu, ne na strane Google. Pro vyrobce je ekonomicky vyhodnejsi prodavat nove modely nez opravovat stare.
