Google сломал отладку в Студии, будьте внимательны.
Действительно, отладка - эти ведь не критичная функциональность, можно и потерпеть.
Воркэраунд я описал уже в ишуе - нужно прицепиться у процессу руками.
Да, у вас может работать. У меня тоже работало, а у коллеги давно сломалось. Сегодня сломалось и у меня, так что потратил полчаса на исследование и нашёл причину и описал воркэраунд.
Действительно, отладка - эти ведь не критичная функциональность, можно и потерпеть.
Воркэраунд я описал уже в ишуе - нужно прицепиться у процессу руками.
Да, у вас может работать. У меня тоже работало, а у коллеги давно сломалось. Сегодня сломалось и у меня, так что потратил полчаса на исследование и нашёл причину и описал воркэраунд.
👍4
https://myachinqa.blogspot.com/2022/12/samsung-lg.html Рассказал про утечку ключей Самсунга и ЛГ. Вы прям наверняка читали об этом в разных ТГ канальчиках, но, почему-то, никто не объяснил, что случилось и что это означает. Так что вот, рекомендую ознакомиться
Blogspot
Об утечке ключей подписи Samsung и LG
утечка подписей ключей samsung lg
👍6
Я хотел опубликовать информацию о найденной нашей командой уязвимости перед НГ. Однако Google не выкатил фикс. Я не имею морального права публиковать описание для незакрытой уязвимости и отложил это дело.
Зато Google сказали, что ошиблись в оценке и это, на самом деле, хай левел уязвимость. Ну ещё бы, у вас дыра в API, которое используют все MDM решения. Не понятно, почему сразу это не осознали. Кажется их безопасник вышел из отпуска и дал им люлей.
В общем, держу в курсе. Опубликую подробности и PoC, когда будет фикс.
Зато Google сказали, что ошиблись в оценке и это, на самом деле, хай левел уязвимость. Ну ещё бы, у вас дыра в API, которое используют все MDM решения. Не понятно, почему сразу это не осознали. Кажется их безопасник вышел из отпуска и дал им люлей.
В общем, держу в курсе. Опубликую подробности и PoC, когда будет фикс.
👍14
Наконец-то Google разродился. В следующем месяце будет патч, значит опубликую здесь описание и приложу PoC через 2 месяца. Чтобы все к этому времени точно обновились.
We will be releasing a patch for this issue in an upcoming bulletin. It will first be released to partners, then to the public the following month.
Your CVE ID is CVE-2022-20551.
We will be releasing a patch for this issue in an upcoming bulletin. It will first be released to partners, then to the public the following month.
Your CVE ID is CVE-2022-20551.
👍8
https://lor.sh/@umnik/109749329615686194
Воспользуюсь вами, уважаемые подписчики. Если хотите в тестирование (ручное и автоматизация) под все ОС _удалённо_ - пишите мне @MyachinDA
Воспользуюсь вами, уважаемые подписчики. Если хотите в тестирование (ручное и автоматизация) под все ОС _удалённо_ - пишите мне @MyachinDA
lor.sh
Umnik (@umnik@lor.sh)
Ищу тестировщика под #Android, #iOS, #Windows, #Linux, #MacOS. Уровень навыков в прямой зависимости от ваших зарплатных ожиданий - нас устроит и стажёр, который хочет прокачать скиллы, и супер-мега-сеньёр. Первого обучим, второй будет сразу же брошен в бой.…
👍4
Google когда-то:
Мы отказываемся от использования сладостей в названиях Android версий. Потому что в некоторых странах людям сложно произнести, например, слово "лоллипоп"
Google сейчас:
Android 14 называется "апсайд даун кейк"
Если вы, как и я, не знаете что это, то вот: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D1%91%D1%80%D0%BD%D1%83%D1%82%D1%8B%D0%B9_%D1%82%D0%BE%D1%80%D1%82
Надеюсь Android 15 будет "Ваговилс", как был когда-то 4.4 Кит Кат. Впрочем, после "апсайд даун кейка" можно ждать "вот та фак из зис кейк"
Мы отказываемся от использования сладостей в названиях Android версий. Потому что в некоторых странах людям сложно произнести, например, слово "лоллипоп"
Google сейчас:
Android 14 называется "апсайд даун кейк"
Если вы, как и я, не знаете что это, то вот: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D1%91%D1%80%D0%BD%D1%83%D1%82%D1%8B%D0%B9_%D1%82%D0%BE%D1%80%D1%82
Надеюсь Android 15 будет "Ваговилс", как был когда-то 4.4 Кит Кат. Впрочем, после "апсайд даун кейка" можно ждать "вот та фак из зис кейк"
👍4
Android Security Bulletin—February 2023 | Android Open Source Project
https://source.android.com/docs/security/bulletin/2023-02-01
https://source.android.com/docs/security/bulletin/2023-02-01
Фикс на CVE-2022-20551 вышел. В марте опубликую описание и приложу PoC
https://source.android.com/docs/security/overview/acknowledgements
Моё имя здесь только потому что я общался с Google. Здесь должен быть указан мой коллега Артём. Это Артём в одиночку разобрался с проблемой и написал PoC. Артём, ты крут!
Моё имя здесь только потому что я общался с Google. Здесь должен быть указан мой коллега Артём. Это Артём в одиночку разобрался с проблемой и написал PoC. Артём, ты крут!
👍8
https://github.com/Exodus-Privacy/exodus-standalone/blob/096eb7bf10e05594227178cb76486f01c283e799/exodus_analyze.py#L76
Я такого ещё не видывал. Это скрипт, который ищет в приложениях всякие трекеры. Возможно вы знаете про Exodus, например вот: https://cloudflare.f-droid.org/en/packages/org.eu.exodus_privacy.exodusprivacy/
Так вот. Этот скрипт завершает свою работу с кодом, который означает количество найденных трекеров. Ну, типа, мало того, что всё это пишется в отчёт, надо и в код возврата написать.
И как будто этого мало: выше по коду он завершается с кодом 1 в случае исключений. То есть код 1 может означать и исключение, и 1 трекер.
Я такого ещё не видывал. Это скрипт, который ищет в приложениях всякие трекеры. Возможно вы знаете про Exodus, например вот: https://cloudflare.f-droid.org/en/packages/org.eu.exodus_privacy.exodusprivacy/
Так вот. Этот скрипт завершает свою работу с кодом, который означает количество найденных трекеров. Ну, типа, мало того, что всё это пишется в отчёт, надо и в код возврата написать.
И как будто этого мало: выше по коду он завершается с кодом 1 в случае исключений. То есть код 1 может означать и исключение, и 1 трекер.
GitHub
exodus-standalone/exodus_analyze.py at 096eb7bf10e05594227178cb76486f01c283e799 · Exodus-Privacy/exodus-standalone
εxodus CLI client for local analysis. Contribute to Exodus-Privacy/exodus-standalone development by creating an account on GitHub.
👍3
У меня тут странная ситуация. Есть программа, задача которой - шифровать данные пользователя. Когда пользователь вводит мастер-пароль, то какое-то время он виден в памяти программы. И, в целом, это более-менее ожидаемо - хотя бы потому что GUI здесь и сейчас этот пароль отображает.
Но вот далее, когда пароль принят и контейнер подключен, он тут же должен вытереться из памяти. Об этом, кстати, даже OWASP пишет:
> 8.3.6 Verify that sensitive information contained in memory is overwritten as soon as it is no longer required to mitigate memory dumping attacks, using zeroes or random data.
Однако я ещё несколько минут считываю пароль из памяти. Видимо его просто не вытирают вовсе и он стирается только тогда, когда сама ОС таки что-то туда запишет. И, если система просто простаивает, пароль будет ещё долго доступен.
Таким образом злоумышленник может сделать дамп памяти программы и извлечь мастер-пароль в открытом виде ещё неопределённое время после того, как пользователь подключил шифрованный контейнер.
На мой взгляд, эта ситуация не является нормальной. Я нашёл почту производителя, которая используется специально для репортов об уязвимостях и сообщил, приложив видео воспроизведения. А чтобы всё было совсем-совсем-совсем просто, я на видео извлёк пароль программой ArtMoney. Потому что не нужно никаких инструментов дополнительно писать, а проверяющий может скачать арт мани в любую секунду и повторить сценарий на видео сам.
Опустим, что у производителя на этом ящике нет автоматического ответа с тикетом, просто молчание. Но через несколько дней мне всё же ответили, что разберутся. Через неделю молчания я снова написал "ну чего" и ответили, что у них не воспроизводится, удалось извлечь лишь часть пароля и вообще такой баг правили в 2019 году.
В общем, проще процитировать переписку, убрав всё, что может подсказать, о чём идёт речь:
<вырезано>По всей видимости, GUI не обнуляет введённый мастер-пароль, сохраняя его в памяти.
<вырезано>Для наглядности и простоты воспроизведения я использовал ArtMoney.
<вырезано>Видео здесь: https://<ссылка на мой некстклауд>
Через неделю снова я:
Привет. Есть какое-то движение?
Ответ:
У нас нет точного воспроизведения данного кейса, в памяти только удалось найти часть от пароля. Мы посмотрели на предыдущие исправления <вырезано>, у нас это правилось еще в 2019 году.
Я:
Эм. В смысле? На видео версия <вырезано: суть в том, что самая распоследняя и новее нет> На видео показано, как пароль находится целиком.
Просто если вы говорите, что проблемы нет, я публикую данные сейчас.
Если вы говорите, что проблему подтвердили и работаем над устранением, то публикую через 90 дней после подтверждения.
Ответ:
Попробуем повторно воспроизвести.
————-
Собственно, к чему я это всё. У меня какая-то непонятная ситуация. Производитель и не подтверждает проблему и я не могу запустить 90 дней стандартных, и не опровергает и я не могу опубликовать демонстрацию. Вот что я должен делать?
У меня несколько вариантов:
- начать отсчёт 90 дней от первого их ответа, прекратив попытки связываться с ними. То есть отвечать, если мне напишут, но не писать самому
- попытаться связаться с производителем не через эту почту, а через другие. Есть вероятность, что, например, техподдержка перешлёт письмо сразу менеджеру проекта и тот перешлёт разработчикам непосредственно. А те уже осознают суть
Склоняюсь ко второму. Всё же под ударом простые пользователи. Не хочется, чтобы после публикации через несколько часов уже были малвари, которые сопрут все данные из контейнеров простых людей.
Но вот далее, когда пароль принят и контейнер подключен, он тут же должен вытереться из памяти. Об этом, кстати, даже OWASP пишет:
> 8.3.6 Verify that sensitive information contained in memory is overwritten as soon as it is no longer required to mitigate memory dumping attacks, using zeroes or random data.
Однако я ещё несколько минут считываю пароль из памяти. Видимо его просто не вытирают вовсе и он стирается только тогда, когда сама ОС таки что-то туда запишет. И, если система просто простаивает, пароль будет ещё долго доступен.
Таким образом злоумышленник может сделать дамп памяти программы и извлечь мастер-пароль в открытом виде ещё неопределённое время после того, как пользователь подключил шифрованный контейнер.
На мой взгляд, эта ситуация не является нормальной. Я нашёл почту производителя, которая используется специально для репортов об уязвимостях и сообщил, приложив видео воспроизведения. А чтобы всё было совсем-совсем-совсем просто, я на видео извлёк пароль программой ArtMoney. Потому что не нужно никаких инструментов дополнительно писать, а проверяющий может скачать арт мани в любую секунду и повторить сценарий на видео сам.
Опустим, что у производителя на этом ящике нет автоматического ответа с тикетом, просто молчание. Но через несколько дней мне всё же ответили, что разберутся. Через неделю молчания я снова написал "ну чего" и ответили, что у них не воспроизводится, удалось извлечь лишь часть пароля и вообще такой баг правили в 2019 году.
В общем, проще процитировать переписку, убрав всё, что может подсказать, о чём идёт речь:
<вырезано>По всей видимости, GUI не обнуляет введённый мастер-пароль, сохраняя его в памяти.
<вырезано>Для наглядности и простоты воспроизведения я использовал ArtMoney.
<вырезано>Видео здесь: https://<ссылка на мой некстклауд>
Через неделю снова я:
Привет. Есть какое-то движение?
Ответ:
У нас нет точного воспроизведения данного кейса, в памяти только удалось найти часть от пароля. Мы посмотрели на предыдущие исправления <вырезано>, у нас это правилось еще в 2019 году.
Я:
Эм. В смысле? На видео версия <вырезано: суть в том, что самая распоследняя и новее нет> На видео показано, как пароль находится целиком.
Просто если вы говорите, что проблемы нет, я публикую данные сейчас.
Если вы говорите, что проблему подтвердили и работаем над устранением, то публикую через 90 дней после подтверждения.
Ответ:
Попробуем повторно воспроизвести.
————-
Собственно, к чему я это всё. У меня какая-то непонятная ситуация. Производитель и не подтверждает проблему и я не могу запустить 90 дней стандартных, и не опровергает и я не могу опубликовать демонстрацию. Вот что я должен делать?
У меня несколько вариантов:
- начать отсчёт 90 дней от первого их ответа, прекратив попытки связываться с ними. То есть отвечать, если мне напишут, но не писать самому
- попытаться связаться с производителем не через эту почту, а через другие. Есть вероятность, что, например, техподдержка перешлёт письмо сразу менеджеру проекта и тот перешлёт разработчикам непосредственно. А те уже осознают суть
Склоняюсь ко второму. Всё же под ударом простые пользователи. Не хочется, чтобы после публикации через несколько часов уже были малвари, которые сопрут все данные из контейнеров простых людей.
👍9
СЯУ, что при генерации UUID версии 1 используется в том числе, читаем внимательно... Количество порций (интервалов, штук - как вам нравится) по 100 наносекунд, прошедших с 15 октября 1582.
Одна наносекунда, это одна миллиардная, то есть 10e-9 или 1/1_000_000_000 секунды. Добавляем два разряда этой соточки, получается 10e-7 или 1/10_000_000 или одна десятимиллионная секунды. То есть сколько десятимиллионных секунды прошло с 15 октября 1582 года.
Пришлось загуглить, что это за дата. Оказывается это дата введения григорианского календаря как раз.
Мне это напоминает вот ту шутку: "Один человек, живший в семнадцатом столетии, как-то смешал воду, лед и соль и измерил температуру замерзания смеси. Эту температуру он принял за ноль и наверняка хохотал, представляя, как все станут ломать голову: а нахуя было солить?! Фамилия у него была Фаренгейт."
Одна наносекунда, это одна миллиардная, то есть 10e-9 или 1/1_000_000_000 секунды. Добавляем два разряда этой соточки, получается 10e-7 или 1/10_000_000 или одна десятимиллионная секунды. То есть сколько десятимиллионных секунды прошло с 15 октября 1582 года.
Пришлось загуглить, что это за дата. Оказывается это дата введения григорианского календаря как раз.
Мне это напоминает вот ту шутку: "Один человек, живший в семнадцатом столетии, как-то смешал воду, лед и соль и измерил температуру замерзания смеси. Эту температуру он принял за ноль и наверняка хохотал, представляя, как все станут ломать голову: а нахуя было солить?! Фамилия у него была Фаренгейт."
👍8
Мой баг дня (записки тестировщика)
У меня тут странная ситуация. Есть программа, задача которой - шифровать данные пользователя. Когда пользователь вводит мастер-пароль, то какое-то время он виден в памяти программы. И, в целом, это более-менее ожидаемо - хотя бы потому что GUI здесь и сейчас…
Дело не двигается. Написал письмо с указанием даты публикации информации публично. 90 дней выпадают на май (отсчёт идёт от 6 февраля - когда впервые мне ответили).
Странное ощущение, когда упрашиваешь компанию исправить проблему в их продукте, тогда как сама компания позиционируется как ИБ контора.
Ну либо проблема реально существует только у меня в виртуалке, я уже не знаю. Проверим в мае.
Странное ощущение, когда упрашиваешь компанию исправить проблему в их продукте, тогда как сама компания позиционируется как ИБ контора.
Ну либо проблема реально существует только у меня в виртуалке, я уже не знаю. Проверим в мае.
👍1
Мой баг дня (записки тестировщика)
Мир Пэй просто перманентно находится в ANR. Я отправил им 60 последних отчётов. Посмотрите на частоту:
- Вот вам багрепорт
- А где паспорт и мазок?
- А где паспорт и мазок?
https://text.tchncs.de/umnik/eto-prosto-podbivka-spiska-izmenenii-s-poiasneniiami-chtoby-ne-skakat-po-stat-ia
Подбил в одном месте, какие изменения в Android 14 будут для нас — разработчиков и тестировщиков.
Попробовал новую блогоплатформу, но позже скопирую этот текст на привычный blogspot. Было бы классно найти платформу для блогов, именно длинных, с картинками и всё такое, но быстрых. И не тех, которые завязаны на конкретные сервисы типа Телеги.
В общем, с блогспота надо валить, но куда. Вот, трогаю пока writefreely. Он и маркдаун поддерживает, и является частью федивёрса
Подбил в одном месте, какие изменения в Android 14 будут для нас — разработчиков и тестировщиков.
Попробовал новую блогоплатформу, но позже скопирую этот текст на привычный blogspot. Было бы классно найти платформу для блогов, именно длинных, с картинками и всё такое, но быстрых. И не тех, которые завязаны на конкретные сервисы типа Телеги.
В общем, с блогспота надо валить, но куда. Вот, трогаю пока writefreely. Он и маркдаун поддерживает, и является частью федивёрса
Скучный бложик тестировщика
Изменения Android 14 — Скучный бложик тестировщика
Изменения, касающиеся всех приложений Это просто подбивка списка изменений с пояснениями, чтобы не скакать по статьям на официальном сай...
👍5
https://myachinqa.blogspot.com/2023/03/android-14.html
Та же самая статья, просто на блогспоте. Могут вылезти старые, уже исправленные, опечатки, т.к. я запутался в версиях и мог перенести не ту. Ну, опечатки на суть не влияют.
Та же самая статья, просто на блогспоте. Могут вылезти старые, уже исправленные, опечатки, т.к. я запутался в версиях и мог перенести не ту. Ну, опечатки на суть не влияют.
Blogspot
Изменения Android 14
Блог об Android и тестировании программного обеспечения. A blog about Android abd software testing.
👍3
Мой баг дня (записки тестировщика)
Дело не двигается. Написал письмо с указанием даты публикации информации публично. 90 дней выпадают на май (отсчёт идёт от 6 февраля - когда впервые мне ответили). Странное ощущение, когда упрашиваешь компанию исправить проблему в их продукте, тогда как сама…
Связался со мной другой сотрудник фирмы и, кажется, дело пошло. Базовая оценка — всего 4.2, с чем я, в общем-то, согласен. Потому что, чисто для справки, почти вся зараза будет попадать под эту оценку. Так как почти всё требует, чтобы пользователь её запустил руками и руками же дал повышенные привилегии.
То, что основная масса пользователей будет делать это на автомате для калькулятора оценки роли не играет, так что норм. Многопользовательские системы также не рассматриваю, т.к., будем честны, более одной учётной записи Windows — это прям лютая редкость. Но нужно понимать, что если атакующий — ваша "половинка" или кто-то, кому вы (зря) доверяете, то защиты сейчас нет. Он просто запустит заразу _в своём сеансе_ и в нём же поднимет заразе привилегии, предоставив возможность читать память процессов _в вашем_ сеансе. Но это опускаем.
В общем, будем надеяться, проблему исправят.
То, что основная масса пользователей будет делать это на автомате для калькулятора оценки роли не играет, так что норм. Многопользовательские системы также не рассматриваю, т.к., будем честны, более одной учётной записи Windows — это прям лютая редкость. Но нужно понимать, что если атакующий — ваша "половинка" или кто-то, кому вы (зря) доверяете, то защиты сейчас нет. Он просто запустит заразу _в своём сеансе_ и в нём же поднимет заразе привилегии, предоставив возможность читать память процессов _в вашем_ сеансе. Но это опускаем.
В общем, будем надеяться, проблему исправят.
👍6