10:06
13/11/2015

* Sprawdź, czy Twój Android jest dziurawy

W Google Play pojawił się skaner o nazwie VTS, który po uruchomieniu sprawdzi, czy zainstalowana na twoim smartphonie wersja Androida jest podatna na kilka ostatnich ataków:

android-vulnerability-scanner
Przeskanujcie się jak najszybciej.

PS. Skaner ma otwarty kod źródłowy.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

39 komentarzy

Dodaj komentarz
  1. Jak usunąć wykryte zagrożenia?

    • Aktualizując system, o ile to na danej słuchawce możliwe. Jeśli nie oficjalnym patchem producenta (level: easy), to …rootując telefon (level: advanced)

    • A propos aktualizacji. Występowanie poziomu zaawansowanego, czy też eksperckiego jest dowodem na mierność tej platformy systemowej, znaczy androida. Wyklikany gówniany system dla komórek.
      Gówniany.
      Producent nie daje patcha, ale nie możesz zrootować telefonu, bo stracisz gwarancję.

    • Platforma, jak platforma – problem tkwi w modelu biznesowym

  2. O tak, szybko masowo instalujcie każdą aplikację, o której wspomną na portalu społecznościowym albo forum. I nie zapomnijcie nadać jej uprawnień administratora. Zgódźcie się na uprawnienia do waszych plików i mozliwość wykonywania międzynarodowych połączeń. Nie zapomnijcie o zezwoleniu na przesyłanie do internetu “statystyk” wpisywanych przez was haseł i loginów na stronach bankowych. A! I jak tylko na jakiejś stronie bąkną o tej aplikacji, prześlijcie ją swoim znajomym, bo jak mają okradać to nie tylko was ale wszystkich.

    • Przecież jak masz Androida, to i tak statystyki są zbierane ;)

    • Jeśli nie łączysz się z siecią, to nie są. Smartfon może służyć do wykonywania połączeń telefonicznych i wysyłania SMS, nic ponadto.

    • @Kenjiro Jeśli urządzenie służy do dzwonienia i pisania SMS-ów, to efektywnie nie jest smartfonem ;) Możesz kupić byle jaki featurephone, będzie równie funkcjonalny a pewnie bezpieczniejszy i tańszy.

    • @Kenjiro, to tak, jakby używać komputera tylko do pisania poematów w Wordzie i oglądania prezentacji w PowerPoincie.

  3. zielono mi

  4. Źródła wolne, łatwo sprawdzić co robi :P

  5. Ta apka VTS ma uprawnienie pełny dostęp do sieci. Po co jej to skoro w opisie jest, że “All data stays on your device and are not shared with anyone”.
    Czy to uprawnienie nie jest potrzebne do przesyłania danych przez Internet?

  6. Chociazby po to aby pobrac nowa baze ze znanymi dziurami

  7. Może do aktualizacji listy bugow?

  8. Dla większości telefonów starszych niż rok ten test nie ma żadnego znaczenia, bo użytkownik w 99% przypadków nie jest w stanie załatać telefonu. Nawet rootowanie nie pomoże, jeśli nie ma łaty na określone wydanie aplikacji (wersję producenta na tym konkretnym modelu telefonu).
    Na ten przykład posiadam dwa telefony Samsung Xcover2 i nie ma dla nich żadnej alternatywy programowej (są jakieś buble, w których nawet wykonywanie połączeń szwankuje).
    Tak więc zamiast skanować telefon “nie do końca znanymi programami” proponuję aktualizować oprogramowanie, o ile oczywiście jest dostępne.

  9. Jestem wrażliwy na stagefright. Co robić, jak żyć? Czy samo wyłączenie autopobierania MMS sprawia, że jestem bezpieczny? :p

    • Mam ten sam problem. Jak żyć?

    • Nie, luki Stagefright można wykorzystać przy otwieraniu multimediów na różne sposoby, np. w przeglądarce. Zaktualizuj system, być może będziesz musiał skorzystać z nieoficjalnego ROM-u.

  10. Podsumowanie dla HTC Desire S, Android 4.0.4:
    Not Vulnerable x9
    Vulnerable x12
    Error running the test x1

    Tragedia…

    • Android 4.0.4 został wydany w marcu 2012, nie powinieneś być zaskoczony takim wynikiem ;)

  11. Weź kredyt i kup nowy telefon ;-)

  12. U mnie ponad połowa rzeczy świeci się na czerwono.
    Telefonu używam głównie do tego do czego został stworzony – do dzwonienia.
    Czasem siedząc na kibelku skorzystam z przeglądarki (wchodząc głównie na serwisy informacyjne).
    Poza tym telefon służy mi w podróży jako nawigacja oraz odtwarzacz audiobooków.
    Nie loguje się do banku i na pocztę.

    Czy mam się czymś przejmować?

  13. Mobilne McAfee twierdzi ze program ma trojana. :)

  14. Raport z VirusTotal tej apki daje ciekawe wyniki :-)

  15. Który tez będzie podatny. Jesli nie zaraz po kupnie to za jakąś chwile na pewno

  16. Mam telefon ponad rok – wszystko na zielono (Nexus 5).

  17. Na Xiaomi Redmi 1s z najnowszym oficjalnym globalnym develeporskim angielskim romem nie mam ani jednej dziury z listy. Mogę się cieszyć i włączyć automatyczne MMS.

  18. gocleaver quantum_500_Lite
    ZipBug 9950697 + (Not Vulnerable)
    ZipBug8219321 + (Not Vulnerable)
    ZipBug9696860 + (Not Vulnerable)
    CVE-2013-6123/put/get_user + (Not Vulnerable)
    CVE-2011-1149/ashmem + (Not Vulnerable)
    CVE-2014-3153/Towelroot/futex + (Not Vulnerable)
    CVE-2014-4943/L2TP + (Not Vulnerable)
    CVE-2015-1528/GraphicsBuffer Unflatten –
    StageFright:cve2015-1538-1 –
    StageFright:cve2015-1538-2 –
    StageFright:cve2015-1538-3 –
    StageFright:cve2015-1538-1 (Error running the test: Test is hanging)
    StageFright:cve2015-1539 +(Error running the test: Test error)
    StageFright:cve2015-3824+(Error running the test: Test is hanging)
    StageFright:cve2015-3828 +(Error running the test: Test is hanging)
    StageFright:cve2015-3829+(Error running the test: Test is hanging)
    StageFright:cve2015-3864 +(Error running the test: Test is hanging)
    StageFright: sf-itunes-poc + (Error running the test: Test is hanging)
    StageFright: cve-2015-6602 – (Vulnerable)
    OpenSSL509 Serialization Bug : CVE 2015 – 2825 -(Vulnerable)
    CVE-2015-3636/pingpong- ( Vulnerable)
    Samsung WifiCredService remote code execution (Not Vulnerable)

    minus oznacza czerwony komentarz, plus zielony,w nawiasie treść komentarza,jeśli brak minus lub plus komentarz w kolorze szarym.

    Brak aktualizacji OS.Powie mi ktoś czy dobrze czy źle czy chujowo ale stabilnie?

    • Dodam jeszcze że na telefonie nie jest zainstalowany żaden antywirus.Użądzenie typowo do dzwonienia i esemesowania.

    • Antywirus to Ci może rzeczywiście nie jest potrzebny, ale słownik ortograficzny to już jak najbardziej tak.

  19. Mój stareńki LG G Pro z CM12.1 bez problemu przechodzi wszystkie testy. Po co komuś “nienaruszona” gwarancja na telefon starszy niż rok?

  20. Skanowanie restartuje fona.
    I tylko tyle.

  21. Dzięki za uwagę, już zamówiłem.
    Co do pytania,nie dodałem też że mam androida kitkat,telefon typowo do dzwonienia.Żadnych niepotrzebnych aplikacji,0 łączenia się z internetem.

  22. Co z tego ze ma otwarte źródła jak na Google play może być kompletnie inna wersja. Jaki procent społeczeństwa zainstaluje środowisko do androbiedy tylko po to by skompilować jedna apke? Iluzja bezpieczeństwa i tyle

  23. Androida używam, a raczej “używam” gdzieś od wersji 2.0 i niestety ostatnio byłem zmuszony przyznać, że jest to szajs bez perspektyw. O ile początkowo wszystkie niedociągnięcia uznawałem za problemy wieku dziecięcego, tak z czasem nie widzę poprawy, a jednocześnie pojawia się wiele irytujących ograniczeń. Ale po kolei:

    1. rozszerzanie pamięci wewnętrznej: kiedyś to się robiło różnymi dziwnymi aplikacjami, które przerzucały symlinki; rozwiązanie kulawe, ale rozumiem – zwykli ludzie mają karty SD w jakimś FAT. Były też hacki z przemontowywaniem karty pamięci, na której była partycja w ext2 – to już lepiej, a jako że nie jestem zmuszony do korzystania z systemów, gdzie taki system plików stanowi problem liczyłem, że w przyszłych wersjach będzie się dało po prostu wybrać takie rozwiązanie z poziomu systemu. Tymczasem… android 4.0 wprowadził ograniczenia w dostępie aplikacji do kart SD (ograniczenie skądinąd słuszne, jeżeli karta zrobiona jest na FAT – dostęp tylko w konkretnej ścieżce), w 5.0 nieco rozluźnili (bo ludzie wyłączali całkiem zmieniając jeden wpis w pliku XML – teraz można udostępnić całe drzewo katalogów), ale gdzie rozwiązanie natywne?! Istnieje unionfs, istnieje overlayfs, a android wciąż przy przenoszeniu aplikacji na kartę (co to w ogóle za czynność?! wkładam kartę i powinienem mieć dodakowy storage) tworzy szyfrowane kontenery asec, które (po jednym na aplikację!) montuje z użyciem device mappera. Po co w ogóle rozszerzać pamięć? Bo taki WhatsApp nie umie zapisywać na extsd. Bo w ogóle zapisywanie na kartach to PITA. Kto stworzył takiego bubla?! Jeżeli google nie wywaliło autora tego pomysłu na zbity pysk, to czego jeszcze można się spodziewać? Niestety, spodziewać się można…

    2. pierdyliona uprawnień dla każdej aplikacji. Uprawnień bez podziału na “istotne” (wejścia krytyczne – kamery, mikrofon, dostęp do danych) oraz resztę (wejścia mniej ważne – lokalizacja, akcelerometr oraz wyjścia – typu głośnik, najwyżej mi aplikacja zacznie hałasować, to ją uwalę). Uprawnień, których nie można odebrać, tylko przyjąć bądź odrzucić w całości (a co za problem pod wejścia podpiąć szum? Pod pliki access denied czy jakiś ogólnosystemowy popup z pytaniem o zezwolenie?) Powiem więcej – te wejścia krytyczne (aparat, mikrofon) powinny mieć politykę domyślną “nie pozwalaj”, żeby świadomie wybierać, kto może z nich korzystać, bo w końcu ile ma się aplikacji do zdjęć? Ja zdjęcia robię lustrzanką. Jednocześnie do dzisiaj byle aplikacja może wywołać dialera z jakimś lewym numerem albo subskrypcją premium SMS, z rozpędu łatwo w to kliknąć (bo przecież operatorzy GSM też domyślnie mają politykę ‘pozwalaj baranom płacić’). No ale cóż, wydawało się, że te kretyńskie aplikacje po prostu zostaną wyrugowane z rynku, zostaną wysokopunktowane programy na poziomie, jednakże…

    3. śmietnik w PlayStore czy jak to się tam teraz nazywa zamiast się zmniejszać, robi się coraz większy. Aplikacje nieprzypadkowo mają taką samą ikonkę i robią to samo – sporo to po prostu czyjś kod przepakowany przez jakiegoś pirata i wydany przez niego. Nie wiem, czy poza beneficjentem reklam coś się zmienia – efekt jest taki, że trzeba zainstalować 17 wersji, żeby znaleźć tę jedną dobrą. Na prawdę wolałbym, aby istniała jedna podstawowa aplikacja z widgetem do latarki.

    4. reklamy – o ile rozumiem te małe na paskach, o tyle nie rozumiem jak google pozwala sobie na “wykryto 11 wirusów, kliknij aby przeskanować”. To mi wygląda na jawny fraud, jeżeli google wyświetla mi taki tekst, to jedyną właściwą reakcją jest wycięcie wszystkich reklam, żeby ktoś przypadkiem nie kliknął w to. Ktoś przypadkiem, gdyż do dzisiaj cechą unikatową i niejednorodną w całym ekosystemie androida są…

    5. profile użytkowników. Na prawdę przez tyle lat nie da się zrobić, aby telefon czy tablet stały się bardziej jak komputer, a mniej jak szczoteczka do zębów? Z tym się wiążą wszystkie funkcje dodatkowe, typu backup na koncie każdego użytkownika z osobna czy możliwość zdalnego zniszczenia zawartości urządzenia. Chociaż nie, przy poprawnej architekturze nie trzeba by nic niszczyć, po prostu trzeba “wylogować” użytkownika, co powinno pozostawić wyłącznie zaszyfrowane dane. Nie trzeba szyfrować żadnymi silnymi algorytmami, wystarczy coś prostego, w sam raz na procesory, jakie są w tych urządzeniach, tylko po to żeby byle kto nie oglądał fotek czy zapisanych haseł. Wszystko to oczywiście uniwesalnie na poziomie systemu, a nie jakichś dodatków czy to płatnych, czy dołączanych przez producenta konkretnego modelu sprzętu. Ale skoro tak dbam o swoje dane, to może jakiś realny backup? Niestety…

    6. nandroid backup dostępny jest tylko w customowych recovery. A dodatkowo zniknął tryb USB mass storage – no bo trzeba odmontować nośnik. OK, rozumiem – niech zwykły Kowalski, co nie rozumie, dlaczego znikają z ekranu widgety, które przeniósł na kartę (patrz pkt. 1) korzysta z “dobrodziestw” MTP, ale ten protokół (jeżeli w ogóle działa) jest tak koszmarnie wolny, że ja bym chciał go mieć dostępnego zaraz obok USB debugging. Nie mam, a co gorsza – nie mam żadnej rozsądnej alternatywy, np. w postaci sshfs czy nawet NFS. Zerkam na kalendarz – tak, kończy się 2015 rok, a pliki pomiędzy dwoma urządzeniami muszę przesyłać kablem z wykorzystaniem jakiegoś bieda-protokołu o prędkości transmisji 10 kb na minutę. Tak, pewnie winny jest driver MTP w telefonie, mógłbym go sobie zaktualizować, gdyby tylko…

    7. istniał oficjalny update. Zapewne nie istnieje. A jeżeli masz brandowany aparat – to w ogóle zapomnij. Żeby to chociaż zezwolili łaskawie na zainstalowanie oficjalnego softu od producenta, ale nie. Ratować się możesz jedynie customowym ROM-em:

    8. o ile istnieje dla urządzenia, które posiadasz (zapewne nie istniejesz, bo lista sprzętu z dobrymi dystrybucjami jest krótka). O ile przebrniesz przez rootowanie (to akurat jest zwykle proste). O ile masz odpowiedni bootloader (tu bywa ciężej). O ile istnieje działający CWM albo TWRP. HTC było na tyle miłe, że udostępniło zdejmowanie blokady bootloadera wprost na stronie. Ale z większością sprzętu jest problem, nawet spory, często nie wart rozwiązywania, bo to nie koniec drogi, tylko sam jej początek.

    I tak dochodzimy do smutnego wniosku, że w przeciwieństwie do zwykłych narzędzi, takich jak komputer, laptop czy młotek, urządzenia na androidzie mają takie samo ograniczenie, jak Zła iKonkurencja – nie służą do tego, aby ich WŁAŚCICIEL robił na nich to, do czego ma ochotę, a jedynie aby ich POSIADACZ używał TU I TERAZ. Nie istnieje problem backupu – bo robi się go “w chmurze”, a jak się terminal popsuje, to się owo ‘przedłużenie zmysłów’ wymienia na nowe i synchronizuje. Ja wolałem używać kart SD, które mogę wyjąć i skopiować w każdym momencie (chociaż wolałem to robić bez wyjmowanie, dopóki działało UMS), bo do “chmur” mam awersję – ale czego spodziewać się po firmie-archiwum świata?

    Krótko mówiąc – jeżeli szanujesz swoją prywatność:

    1. nie wkładaj do androida karty SIM ze swoim numerem używanym do telefonowania (co najwyżej kartę z netem),
    2. nie loguj się na prawdziwe konta – na gmailu załóż lewy profil, bo bez tego nawet aplikacji ze sklepu nie pociągniesz,
    3. ryjoksiążki i wszystkich innych socjal media nie masz, bo inaczej swojej prywatności nie szanujesz,
    4. zdjęcia (tj. jedyna rzecz prywatna, jaką masz na urządzeniu) regularnie zrzucaj na swój domowy backup.

    A swoją drogą, bardzo mi brakuje bezpośredniego nagrywania rozmów. Taki dupochron na kraje, gdzie jest to zabronione bez powiadamiania drugiej strony – ale przecież i tak mogę nagrywać z głośnika czy odpowiednią słuchawką BT. W starej Nokii miałem taką funkcję, po prostu nagrywanie było sygnalizowane popikiwaniem.

    Skoro więc android nie daje mi żadnej dodatkowej wolności (korzystania ze sprzętu), nie daje mi żadnej dodatkowej prywatności, to z przykrością stwierdzam, że nie jest to platforma dla mnie. Nie mam czasu na szukanie modelu, który da się zrootować i jest dobry custom ROM, żebym system doprowadził do stanu, w jakim go chcę mieć – bo model zniknie z rynku za 2 lata, aparat się zużyje i trzeba całą zabawę zaczynać od początku. Nie wyobrażam sobie rzeźbienia, instalowania i konfigurowania systemu co 2 lata (na PC mam system instalowany chyba jeszcze w ubiegłym wieku). Czyli w zasadzie jest to czarne pudełko, które akceptujesz jakie jest w całości, albo nie. To teraz powodzenia w łataniu dziur!

  24. @up Bardzo dobry, i merytoryczny komentarz!

  25. @Gotar

    Masz jakis system ktory polecasz. FirefoxOS chyba upadl. Ubuntu phone, Sailfish ? MeeGo nie wypalil.

  26. Ktoś wie czy apka zmieniła nazwę? Pod podanym linkiem jej nie ma i na próżno szukać tegoż VTS w sklepie Google.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.