image_2022-11-01_13-57-38.png
433 KB
Шикарный диалог: https://lor.sh/@hardworm/109268134125401614 Полезен и для аналитиков, которые не определяют предельных значений, и для тестировщиков, которые отталкиваются только от того, что в требованиях, игнорируя разум
👍9
Представьте, что появились полностью самоуправляемые автомобили. Хотели бы вы, чтобы на них можно было накатывать альтернативные прошивки? Прошивки не только медиа системы, но и управления всеми узлами и распознавания объектов
Anonymous Poll
10%
Полностью да. Свобода! Вендорлок приведёт к тому, что машина будет служить год и потом устареет
19%
Полностью нет. Швабодка от Васяна приведёт к катастрофе. И с Васяна потом не спросишь
46%
Да, но только сертифицированные прошивки. Если прошивка Васяна проходит все тесты, то всё в порядке
25%
Полное самоупровление не нужно в принципе. На крайняк - должна быть возможность всё выключать
https://issuetracker.google.com/issues/207626322
Google сломал эмулятор для образа API level 31 (Android 12). При чём оно сначала работает. Потом запускаешь в очередной раз - а оно не запускается. Если запускать с флагом
Google сломал эмулятор для образа API level 31 (Android 12). При чём оно сначала работает. Потом запускаешь в очередной раз - а оно не запускается. Если запускать с флагом
-verbose, то будет бесконечно писатьVERBOSE | VirtIO WiFi: unexpected full virtqueueА я сначала грешил на
VERBOSE | No acpi ini file provided, using default
VERBOSE | No acpi ini file provided, using default
Wayland, но решил таки поисследовать. И оказалось, что баг известный и ему всего-навсего год. Надо просто подождать ещё 10 лет и баг переведут в obsolete и закроют.👍8
Can't run debugger on physical device after last Android studio update [251216413] - Visible to Public - Issue Tracker
https://issuetracker.google.com/issues/251216413
https://issuetracker.google.com/issues/251216413
Google сломал отладку в Студии, будьте внимательны.
Действительно, отладка - эти ведь не критичная функциональность, можно и потерпеть.
Воркэраунд я описал уже в ишуе - нужно прицепиться у процессу руками.
Да, у вас может работать. У меня тоже работало, а у коллеги давно сломалось. Сегодня сломалось и у меня, так что потратил полчаса на исследование и нашёл причину и описал воркэраунд.
Действительно, отладка - эти ведь не критичная функциональность, можно и потерпеть.
Воркэраунд я описал уже в ишуе - нужно прицепиться у процессу руками.
Да, у вас может работать. У меня тоже работало, а у коллеги давно сломалось. Сегодня сломалось и у меня, так что потратил полчаса на исследование и нашёл причину и описал воркэраунд.
👍4
https://myachinqa.blogspot.com/2022/12/samsung-lg.html Рассказал про утечку ключей Самсунга и ЛГ. Вы прям наверняка читали об этом в разных ТГ канальчиках, но, почему-то, никто не объяснил, что случилось и что это означает. Так что вот, рекомендую ознакомиться
Blogspot
Об утечке ключей подписи Samsung и LG
утечка подписей ключей samsung lg
👍6
Я хотел опубликовать информацию о найденной нашей командой уязвимости перед НГ. Однако Google не выкатил фикс. Я не имею морального права публиковать описание для незакрытой уязвимости и отложил это дело.
Зато Google сказали, что ошиблись в оценке и это, на самом деле, хай левел уязвимость. Ну ещё бы, у вас дыра в API, которое используют все MDM решения. Не понятно, почему сразу это не осознали. Кажется их безопасник вышел из отпуска и дал им люлей.
В общем, держу в курсе. Опубликую подробности и PoC, когда будет фикс.
Зато Google сказали, что ошиблись в оценке и это, на самом деле, хай левел уязвимость. Ну ещё бы, у вас дыра в API, которое используют все MDM решения. Не понятно, почему сразу это не осознали. Кажется их безопасник вышел из отпуска и дал им люлей.
В общем, держу в курсе. Опубликую подробности и PoC, когда будет фикс.
👍14
Наконец-то Google разродился. В следующем месяце будет патч, значит опубликую здесь описание и приложу PoC через 2 месяца. Чтобы все к этому времени точно обновились.
We will be releasing a patch for this issue in an upcoming bulletin. It will first be released to partners, then to the public the following month.
Your CVE ID is CVE-2022-20551.
We will be releasing a patch for this issue in an upcoming bulletin. It will first be released to partners, then to the public the following month.
Your CVE ID is CVE-2022-20551.
👍8
https://lor.sh/@umnik/109749329615686194
Воспользуюсь вами, уважаемые подписчики. Если хотите в тестирование (ручное и автоматизация) под все ОС _удалённо_ - пишите мне @MyachinDA
Воспользуюсь вами, уважаемые подписчики. Если хотите в тестирование (ручное и автоматизация) под все ОС _удалённо_ - пишите мне @MyachinDA
lor.sh
Umnik (@umnik@lor.sh)
Ищу тестировщика под #Android, #iOS, #Windows, #Linux, #MacOS. Уровень навыков в прямой зависимости от ваших зарплатных ожиданий - нас устроит и стажёр, который хочет прокачать скиллы, и супер-мега-сеньёр. Первого обучим, второй будет сразу же брошен в бой.…
👍4
Google когда-то:
Мы отказываемся от использования сладостей в названиях Android версий. Потому что в некоторых странах людям сложно произнести, например, слово "лоллипоп"
Google сейчас:
Android 14 называется "апсайд даун кейк"
Если вы, как и я, не знаете что это, то вот: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D1%91%D1%80%D0%BD%D1%83%D1%82%D1%8B%D0%B9_%D1%82%D0%BE%D1%80%D1%82
Надеюсь Android 15 будет "Ваговилс", как был когда-то 4.4 Кит Кат. Впрочем, после "апсайд даун кейка" можно ждать "вот та фак из зис кейк"
Мы отказываемся от использования сладостей в названиях Android версий. Потому что в некоторых странах людям сложно произнести, например, слово "лоллипоп"
Google сейчас:
Android 14 называется "апсайд даун кейк"
Если вы, как и я, не знаете что это, то вот: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D1%91%D1%80%D0%BD%D1%83%D1%82%D1%8B%D0%B9_%D1%82%D0%BE%D1%80%D1%82
Надеюсь Android 15 будет "Ваговилс", как был когда-то 4.4 Кит Кат. Впрочем, после "апсайд даун кейка" можно ждать "вот та фак из зис кейк"
👍4
Android Security Bulletin—February 2023 | Android Open Source Project
https://source.android.com/docs/security/bulletin/2023-02-01
https://source.android.com/docs/security/bulletin/2023-02-01
Фикс на CVE-2022-20551 вышел. В марте опубликую описание и приложу PoC
https://source.android.com/docs/security/overview/acknowledgements
Моё имя здесь только потому что я общался с Google. Здесь должен быть указан мой коллега Артём. Это Артём в одиночку разобрался с проблемой и написал PoC. Артём, ты крут!
Моё имя здесь только потому что я общался с Google. Здесь должен быть указан мой коллега Артём. Это Артём в одиночку разобрался с проблемой и написал PoC. Артём, ты крут!
👍8
https://github.com/Exodus-Privacy/exodus-standalone/blob/096eb7bf10e05594227178cb76486f01c283e799/exodus_analyze.py#L76
Я такого ещё не видывал. Это скрипт, который ищет в приложениях всякие трекеры. Возможно вы знаете про Exodus, например вот: https://cloudflare.f-droid.org/en/packages/org.eu.exodus_privacy.exodusprivacy/
Так вот. Этот скрипт завершает свою работу с кодом, который означает количество найденных трекеров. Ну, типа, мало того, что всё это пишется в отчёт, надо и в код возврата написать.
И как будто этого мало: выше по коду он завершается с кодом 1 в случае исключений. То есть код 1 может означать и исключение, и 1 трекер.
Я такого ещё не видывал. Это скрипт, который ищет в приложениях всякие трекеры. Возможно вы знаете про Exodus, например вот: https://cloudflare.f-droid.org/en/packages/org.eu.exodus_privacy.exodusprivacy/
Так вот. Этот скрипт завершает свою работу с кодом, который означает количество найденных трекеров. Ну, типа, мало того, что всё это пишется в отчёт, надо и в код возврата написать.
И как будто этого мало: выше по коду он завершается с кодом 1 в случае исключений. То есть код 1 может означать и исключение, и 1 трекер.
GitHub
exodus-standalone/exodus_analyze.py at 096eb7bf10e05594227178cb76486f01c283e799 · Exodus-Privacy/exodus-standalone
εxodus CLI client for local analysis. Contribute to Exodus-Privacy/exodus-standalone development by creating an account on GitHub.
👍3
У меня тут странная ситуация. Есть программа, задача которой - шифровать данные пользователя. Когда пользователь вводит мастер-пароль, то какое-то время он виден в памяти программы. И, в целом, это более-менее ожидаемо - хотя бы потому что GUI здесь и сейчас этот пароль отображает.
Но вот далее, когда пароль принят и контейнер подключен, он тут же должен вытереться из памяти. Об этом, кстати, даже OWASP пишет:
> 8.3.6 Verify that sensitive information contained in memory is overwritten as soon as it is no longer required to mitigate memory dumping attacks, using zeroes or random data.
Однако я ещё несколько минут считываю пароль из памяти. Видимо его просто не вытирают вовсе и он стирается только тогда, когда сама ОС таки что-то туда запишет. И, если система просто простаивает, пароль будет ещё долго доступен.
Таким образом злоумышленник может сделать дамп памяти программы и извлечь мастер-пароль в открытом виде ещё неопределённое время после того, как пользователь подключил шифрованный контейнер.
На мой взгляд, эта ситуация не является нормальной. Я нашёл почту производителя, которая используется специально для репортов об уязвимостях и сообщил, приложив видео воспроизведения. А чтобы всё было совсем-совсем-совсем просто, я на видео извлёк пароль программой ArtMoney. Потому что не нужно никаких инструментов дополнительно писать, а проверяющий может скачать арт мани в любую секунду и повторить сценарий на видео сам.
Опустим, что у производителя на этом ящике нет автоматического ответа с тикетом, просто молчание. Но через несколько дней мне всё же ответили, что разберутся. Через неделю молчания я снова написал "ну чего" и ответили, что у них не воспроизводится, удалось извлечь лишь часть пароля и вообще такой баг правили в 2019 году.
В общем, проще процитировать переписку, убрав всё, что может подсказать, о чём идёт речь:
<вырезано>По всей видимости, GUI не обнуляет введённый мастер-пароль, сохраняя его в памяти.
<вырезано>Для наглядности и простоты воспроизведения я использовал ArtMoney.
<вырезано>Видео здесь: https://<ссылка на мой некстклауд>
Через неделю снова я:
Привет. Есть какое-то движение?
Ответ:
У нас нет точного воспроизведения данного кейса, в памяти только удалось найти часть от пароля. Мы посмотрели на предыдущие исправления <вырезано>, у нас это правилось еще в 2019 году.
Я:
Эм. В смысле? На видео версия <вырезано: суть в том, что самая распоследняя и новее нет> На видео показано, как пароль находится целиком.
Просто если вы говорите, что проблемы нет, я публикую данные сейчас.
Если вы говорите, что проблему подтвердили и работаем над устранением, то публикую через 90 дней после подтверждения.
Ответ:
Попробуем повторно воспроизвести.
————-
Собственно, к чему я это всё. У меня какая-то непонятная ситуация. Производитель и не подтверждает проблему и я не могу запустить 90 дней стандартных, и не опровергает и я не могу опубликовать демонстрацию. Вот что я должен делать?
У меня несколько вариантов:
- начать отсчёт 90 дней от первого их ответа, прекратив попытки связываться с ними. То есть отвечать, если мне напишут, но не писать самому
- попытаться связаться с производителем не через эту почту, а через другие. Есть вероятность, что, например, техподдержка перешлёт письмо сразу менеджеру проекта и тот перешлёт разработчикам непосредственно. А те уже осознают суть
Склоняюсь ко второму. Всё же под ударом простые пользователи. Не хочется, чтобы после публикации через несколько часов уже были малвари, которые сопрут все данные из контейнеров простых людей.
Но вот далее, когда пароль принят и контейнер подключен, он тут же должен вытереться из памяти. Об этом, кстати, даже OWASP пишет:
> 8.3.6 Verify that sensitive information contained in memory is overwritten as soon as it is no longer required to mitigate memory dumping attacks, using zeroes or random data.
Однако я ещё несколько минут считываю пароль из памяти. Видимо его просто не вытирают вовсе и он стирается только тогда, когда сама ОС таки что-то туда запишет. И, если система просто простаивает, пароль будет ещё долго доступен.
Таким образом злоумышленник может сделать дамп памяти программы и извлечь мастер-пароль в открытом виде ещё неопределённое время после того, как пользователь подключил шифрованный контейнер.
На мой взгляд, эта ситуация не является нормальной. Я нашёл почту производителя, которая используется специально для репортов об уязвимостях и сообщил, приложив видео воспроизведения. А чтобы всё было совсем-совсем-совсем просто, я на видео извлёк пароль программой ArtMoney. Потому что не нужно никаких инструментов дополнительно писать, а проверяющий может скачать арт мани в любую секунду и повторить сценарий на видео сам.
Опустим, что у производителя на этом ящике нет автоматического ответа с тикетом, просто молчание. Но через несколько дней мне всё же ответили, что разберутся. Через неделю молчания я снова написал "ну чего" и ответили, что у них не воспроизводится, удалось извлечь лишь часть пароля и вообще такой баг правили в 2019 году.
В общем, проще процитировать переписку, убрав всё, что может подсказать, о чём идёт речь:
<вырезано>По всей видимости, GUI не обнуляет введённый мастер-пароль, сохраняя его в памяти.
<вырезано>Для наглядности и простоты воспроизведения я использовал ArtMoney.
<вырезано>Видео здесь: https://<ссылка на мой некстклауд>
Через неделю снова я:
Привет. Есть какое-то движение?
Ответ:
У нас нет точного воспроизведения данного кейса, в памяти только удалось найти часть от пароля. Мы посмотрели на предыдущие исправления <вырезано>, у нас это правилось еще в 2019 году.
Я:
Эм. В смысле? На видео версия <вырезано: суть в том, что самая распоследняя и новее нет> На видео показано, как пароль находится целиком.
Просто если вы говорите, что проблемы нет, я публикую данные сейчас.
Если вы говорите, что проблему подтвердили и работаем над устранением, то публикую через 90 дней после подтверждения.
Ответ:
Попробуем повторно воспроизвести.
————-
Собственно, к чему я это всё. У меня какая-то непонятная ситуация. Производитель и не подтверждает проблему и я не могу запустить 90 дней стандартных, и не опровергает и я не могу опубликовать демонстрацию. Вот что я должен делать?
У меня несколько вариантов:
- начать отсчёт 90 дней от первого их ответа, прекратив попытки связываться с ними. То есть отвечать, если мне напишут, но не писать самому
- попытаться связаться с производителем не через эту почту, а через другие. Есть вероятность, что, например, техподдержка перешлёт письмо сразу менеджеру проекта и тот перешлёт разработчикам непосредственно. А те уже осознают суть
Склоняюсь ко второму. Всё же под ударом простые пользователи. Не хочется, чтобы после публикации через несколько часов уже были малвари, которые сопрут все данные из контейнеров простых людей.
👍9
СЯУ, что при генерации UUID версии 1 используется в том числе, читаем внимательно... Количество порций (интервалов, штук - как вам нравится) по 100 наносекунд, прошедших с 15 октября 1582.
Одна наносекунда, это одна миллиардная, то есть 10e-9 или 1/1_000_000_000 секунды. Добавляем два разряда этой соточки, получается 10e-7 или 1/10_000_000 или одна десятимиллионная секунды. То есть сколько десятимиллионных секунды прошло с 15 октября 1582 года.
Пришлось загуглить, что это за дата. Оказывается это дата введения григорианского календаря как раз.
Мне это напоминает вот ту шутку: "Один человек, живший в семнадцатом столетии, как-то смешал воду, лед и соль и измерил температуру замерзания смеси. Эту температуру он принял за ноль и наверняка хохотал, представляя, как все станут ломать голову: а нахуя было солить?! Фамилия у него была Фаренгейт."
Одна наносекунда, это одна миллиардная, то есть 10e-9 или 1/1_000_000_000 секунды. Добавляем два разряда этой соточки, получается 10e-7 или 1/10_000_000 или одна десятимиллионная секунды. То есть сколько десятимиллионных секунды прошло с 15 октября 1582 года.
Пришлось загуглить, что это за дата. Оказывается это дата введения григорианского календаря как раз.
Мне это напоминает вот ту шутку: "Один человек, живший в семнадцатом столетии, как-то смешал воду, лед и соль и измерил температуру замерзания смеси. Эту температуру он принял за ноль и наверняка хохотал, представляя, как все станут ломать голову: а нахуя было солить?! Фамилия у него была Фаренгейт."
👍8