adv

solidot新版网站常见问题,请点击这里查看。
Android
pigsrollaroundinthem(39396)
发表于2016年12月26日 12时41分 星期一
来自Google投资
Cyanogen 公司宣布在12月31日关闭所有服务和 Cyanogen 支持的 CyanogenMod 构建设施。CyanogenMod 是 Android 的开源发行版,它的源代码仍然是开放的。社区开发者宣布创建CyanogenMod的分支 Lineage OS源代码托管在Github上。Lineage OS项目表示将在CyanogenMod的遗产上继续前进。但目前不清楚Lineage在没有外部资金支持的情况下能支撑多久。
Android
pigsrollaroundinthem(39396)
发表于2016年12月25日 14时45分 星期日
来自交岔路
cuthead 写道 "Cyanogen说:在元旦Cyanogen就了,除了大部分人都看不懂的源代码还在,以后该怎么办?Cyanogen在7月解雇了20%的职员,在11月Cyanogen失去了核心人员Steve Kondik,Kondik说不想干了,Kondik同一天又说想干点的,现在没人知道他在干什么,大家关心的是谁继续开发Cyanogen.Cyanogen说,Cyanogen死了,CM的变种还会再生。"
Android
pigsrollaroundinthem(39396)
发表于2016年12月23日 17时51分 星期五
来自只用中国公司开发的
Android 用户常常有下面的经历:下载了一个Android应用,发现该应用索要了所有手机功能和用户数据的访问权限。这一问题相当普遍,甚至Android开源应用市场 F-Droid也存在应用索要过多权限的情况,比如一款扫雷想要能记录音频和视频。如何发现尊重用户隐私的Android 应用?Opensource.com报道了两个只要求最低权限的开源应用项目:Privacy Friendly AppsSimple Mobile Tools,两个项目开发的应用虽然不多,但都能满足用户的基本需求,涵盖了游戏、二维码扫描、笔记、To-Do List、照明、天气、文件管理、日历、照相等常用功能。所有应用都是开源的,源代码常用GPLv3 或 Apache 2.0 许可证,托管在GitHub上。
Android
pigsrollaroundinthem(39396)
发表于2016年12月05日 18时47分 星期一
来自中国用户笑了 F-Droid用户路过
Android生态系统频繁曝出安全问题,而引起安全问题的应用许多都是通过第三方应用市场传播的。网络罪犯很容易将恶意应用伪装成合法应用在第三方商店传播。《连线》的一篇报道援引安全专家的话称,用户不应该从第三方Android 市场下载应用。文章将亚马逊的应用商店列为例外,作者可能没听说过还有自由开源软件应用商店F-Droid。SecureWorks的研究员James Bettke说,他强烈推荐从官方来源下载应用,Google Play建立了信任,你能信任某些供应商或个人制作的应用,而在第三方应用商店你不知道下载的究竟是什么。
Android
pigsrollaroundinthem(39396)
发表于2016年11月23日 16时10分 星期三
来自安装了支付宝,一次充电唤醒数千次
Tor 开发者 Mike Perry 在加固版 Android 发行版 Copperhead OS 的技术上发布了 Tor手机原型安装指南发布在Github上),演示构建一款尊重用户选择和自由、大幅减少攻击面的安全手机是可能的。Tor手机原型使用防火墙 OrWall 经过 Tor 路由流量,屏蔽所有其他流量,但可以为 Signal 等端对端加密的语音消息应用添加例外。原型只能工作在 Google Nexus 和 Pixel 等少数硬件上,Perry 称, Google 对 Android 作为一个完整开源平台的“敌意”日益增加。苹果的 iOS 被认为比 Android更安全,但 Perry 相信 Android 的安全性会不断改进,而闭源的系统如苹果的 iOS 比开源系统更容易被迫部署软件后门。为了解决 Android 的安全问题,Google 采取的方法伤害了用户自由,这一趋势令人不安。
Android
pigsrollaroundinthem(39396)
发表于2016年11月20日 17时58分 星期日
来自利党利民
上海广升之后,安全研究人员通过监视手机的流量,发现另一家叫锐嘉科集团有限公司的上海公司也在Android固件中植入后门,受影响的智能手机多达数百万部。 在广升后门曝光之后,Anubis Networks的研究人员购买了一部BLU Studio G廉价手机进行测试,通过捕捉网络流量,他们发现了锐嘉科的后门。锐嘉科的问题存在三个方面:OTA更新系统不加密,容易被中间人攻击,中间人可以伪造更新服务器响应向用户设备发送恶意指令;开发者试图隐藏更新进程;硬编码了三个OTA更新服务器域名,研究人员发现时只有一个域名被注册,如果恶意攻击者注意到的话后果难以想象,研究人员注册了另外两个预配置的域名观察有多少智能手机存在该后门,他们发现了超过280万部智能手机,其主要品牌包括 BLU、Infinix Mobility、DOOGEE、LEAGOO、IKU Mobile、Beeline和 XOLO等(如图所示)。比广升固件后门好一点的是,该后门目前没有发现收集用户私人数据。
Android
pigsrollaroundinthem(39396)
发表于2016年11月17日 11时28分 星期四
来自谷粉变果粉
提供固件云更新服务(FOTA)的上海广升信息技术有限公司被发现在固件中植入了后门,将用户大量的私人信息发送到其服务器上。该公司声称是失误,不小心将为中国市场开发的监控系统/后门安装到了在美国销售的产品中。对于中国用户来说,这就带来了一个极其严重和敏感的问题:我的手机是否内置了广升的软件,它是否在收集私人信息?根据其官网的广告(如图所示),它在全世界有7亿激活用户,那么它在中国有多少激活用户?广升就后门一事在英文声明(中文没有)中宣称,为了确保提供正确的更新和服务,它需要收集手机型号信息、设备状态、应用信息、bin/xbin信息、手机和消息的概要信息,利用这些信息验证合适的更新和服务发送到正确的设备上。它声称被外界称为后门的功能是应中国客户要求开发用于识别垃圾短信和广告骚扰电话。至于它的声明是否可信另当别论。我们所关心的是我们随身携带的手机是否含有广升的服务。简单的方法是监控流量,判断设备是否访问了广升的域名如bigdata.adups.com和ebootv5.adsunflower.com(该域名可用于发送提权指令)。还有一种方法是识别广升的客户,如果你是苹果手机用户,你不用担心,广升的客户主要是Android厂商。消费者报告正在调查有多少Android手机使用了广升的固件更新服务:Blu受影响的产品包括R1 HD、Energy X Plus 2、Studio Touch、Advance 4.0 L2、Neo XL和 Energy Diamond;Google称它的Nexus 和Pixel手机没有使用广升的固件,但无法提供其它 Android手机的信息;中兴称它在美国销售的机型没有使用广升的固件,华为称它与广升没有任何形式的业务往来;LG称它的手机没有受到影响,OnePlus 和 HTC表示正在调查。安全公司Trail of Bits的CEO称,从中国审查者的角度看,这个功能不是bug而是特性。
Android
pigsrollaroundinthem(39396)
发表于2016年11月16日 10时12分 星期三
来自不是故意的
安全公司 Kryptowire 从美国销售的低端 Android 手机固件中发现了一个后门,会将用户的大量私人信息发送到提供固件的中国公司服务器上,发送的数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等。提供固件的上海广升信息技术有限公司声称是失误,否认为中国政府收集情报,声称它是一家私人公司。上海广升自称它的软件运行在全球超过7亿台设备上,包括手机、平板和车载娱乐系统,它的软件被华为和中兴的手机使用,也用于美国亚马逊和百思买售价50美元的BLU R1 HD廉价Android智能手机。广升声称软件的监视功能是为中国市场设计的,以帮助中国手机制造商监视用户行为,不小心包含在美国销售的BLU设备中。后门包含在固件的OTA更新软件中,它以JSON格式向广升的大数据服务器发送数据,这些服务器的域名包括了 bigdata.adups.com、bigdata.adsunflower.com、bigdata.adfuture.cn和bigdata.advmob.cn。BLU表示,其12万部手机受到影响,公司已更新了软件,删除了这个功能。《纽约时报》报道称,这个问题显示了处在整个技术供应链中的公司如何能够在制造商或用户知情或不知情的情况下损害隐私。它也让人看到了中国公司——进而延伸到中国政府——可以监视手机的一种方式。多年来,中国政府一直在使用各种方法来过滤和跟踪互联网的使用,监视在线对话。政府要求在中国经营的技术公司遵守严格的规则。据广升提供的文件,这款软件是根据一个未指明的中国制造商的要求编写的,该制造商希望软件有存储通话记录、短信消息和其他数据的能力。广升说,中国公司使用这些数据提供客户支持。美国国土安全部发言人Marsha Catron说,国土安全部“最近获悉了Kryptowire发现的问题,正在与我们的公共和私营部门合作伙伴一起确定适当的缓解策略。”
Android
pigsrollaroundinthem(39396)
发表于2016年11月13日 16时08分 星期日
来自新浪表示这是特性
香港中文大学的三名研究人员在Black Hat EU报告(PDF)发现了OAuth 2.0单点登录第三方移动应用实现的漏洞,允许攻击者通过恶意应用或网络中间人监听的方式在受害者不知情下远程劫持用户帐户。研究人员研究了三大身份提供商新浪、Facebook和Google的OAuth 2.0 API,这些身份提供商的注册用户数超过了8亿、15亿和25亿,它们被广泛用于第三方移动应用的单点登录。研究人员检查了200个最受欢迎的中国移动应用和400个最受欢迎的美国的移动应用,发现支持新浪账号登录的中国应用有约70%账号易被劫持,相比之下Facebook是15.25%,Google是8%。存在漏洞的移动应用下载量超过24亿,如图所示,大部分存在漏洞的移动应用使用的是新浪的单点登录,研究人员没有公布应用的名字,只是透露了这些移动应用的类型和下载量,通过这些信息还是有可能大概猜测出哪些应用存在漏洞。
Android
pigsrollaroundinthem(39396)
发表于2016年11月11日 11时15分 星期五
来自广告巨头
Google否认了欧盟对其滥用Android在移动市场支配地位的指控。欧盟反垄断监管机构指控Google利用Android的垄断迫使厂商安装Google服务,同时排斥竞争对手。Google否认Android伤害了竞争,并比较了竞争对手在自家的设备上预装的应用:苹果在iPhone 7上预装的39个应用都来自苹果,微软Lumia 550预装的47个应用有39个