Как бороться с уязвимостями на Android-смартфоне если ни производитель ни сообщество не выпускают к нему обновлений?

Question

[StrangeAttractor]

Вот читаю я, значит, тут

Уязвимость Shellshock (CVE-2014-6271) по масштабности и последствиям для всемирной сети и подключенных к ней устройств можно сравнить только с печально известной Heartbleed, которая была обнаружена весной этого года. Такое название получила уязвимость в командном интерпретаторе Bash, который используется во всевозможных модификациях и дистрибутивах Linux, Unix, Apple OS X (включая новейшую версию OS X Mavericks), а также Android.

Конечно я и так всегда знал, что там Bash и другие вещи, грубо говоря, те же, что в обычном Linux, но как-то никогда об этом не задумывался в таком ключе, а тут до меня дошло: получается мой телефон теперь может взломать/заразить любой желающий скрипткидди! И через Bash, и через heartbleed (установленные на телефоне SSL-библиотеки-то тоже никто не менял по идее)...

Если на десктопе и даже на сервере шансы велики, что штатное обновление с устранением уязвимости дойдёт до тебя раньше, чем вирус или злоумышленник, то смартфоны-то (именно ОС и системные библиотеки, пользовательские приложения - другое дело) обновляются гораздо реже, а многие не слишком популярные и не слишком новые модели и вовсе не обновляются никогда (в смысле производитель не выпускает обновлений для них (вот у меня как была Android 4.1 при покупке, так до сих пор и есть, недавно хотябы удалось рутануть), и со стороны альтернативных прошивок типа Cyanogen Mod поддержки нет).

И как же быть?

Answer 1

[Z-r]

> что там [а Android’е] Bash и другие вещи, грубо говоря, те же, что в обычном Linux

Чушь какая-то. В типовом Андроиде Баш не предустановлен. А если вы его сами поставили, то какие проблемы обновить? К Linux® Bash, кстати, тоже никакого отношения не имеет — это два абсолютно независимых друг от друга продукта.

Comments

[StrangeAttractor]

"В типовом Андроиде Баш не предустановлен" — не знал. "К Linux® Bash, кстати, тоже никакого отношения не имеет" — имеет, косвенное. "это два абсолютно независимых друг от друга продукта" - да, но терминологические споры нафиг, "как несоответствующие и уводящие" ©

Answer 2

[xmoonlight]

Очевидное: Пересобрать "вылеченную" прошивку самому с исходного кода.
Невероятное: поднять проблему на мультиязычном сайте на критический уровень, чтобы разработчики прошивок выпустили бы их обновления как можно скорее.
Простое: поставить антивирь и забыть про это до нового телефона...

Comments

[StrangeAttractor]

Первые два пункта из области невозможного (я, конечно, собирал приложения под Linux из исходников и ядра компилил, но самому изготовить прошивку к телефону, к которому вообще нет ни одной альтернативной прошивки (ввиду малой распространённости модели прежде всего) - это очень нешуточная работа IMHO), последний - из области "гомеопатии", мне кажется.

[xmoonlight]

подождем остальных... может кто че по-умнее предложит.... хотя сомневаюсь...
PS: это еще в чипе не рылись....))

Answer 3

[FoxInSox]

Да никак. Любая ОС со временем становится уязвимой. Бесконечной поддержкой никто заниматься не будет по очевидным причинам.

Answer 4

[vovkab]

Если обновления для вас критичны, лучше покупать нексус линейку.

В остальном же, если производитель забил на девайс еще до его рождения, вся надежда только на сообщество. А если у вас какой нибудь редкий китаец, то мало кто вам поможет. Можете попробовать пропатчить самим, но оно того имхо не стоит, лучше купить нексус.

Comments

[StrangeAttractor]

Не припоминаю ни одного Нексуса (по крайней мере в не слишком отдалённом прошлом), оборудованного физической QWERTY-клавиатурой, а это для меня очень важно, по-этому я и купил единственный более-менее современный QWERTY-андроидофон от известной (именно ради поддержки сообщества) фирмы, какой мне удалось найти: Samsung Galaxy Ch@t.

[vovkab]

Да, с кверти сложнее, выбора особо нет.
Если сообщество и производитель не занимается/поддерживает это устройство, то не знаю что вы ожидаете тут услышать?

Остается только самому пилить патч/прошивку.

[StrangeAttractor]

"что вы ожидаете тут услышать?" - ссылки на туториалы по компиляции и ручной замене libssl и bash под Android, например, или, может, приложение какое для рутованых смартов есть, которое само эти вещи обновляет. Мне почему-то кажется, чтобы запатчить отдельные уязвимые библиотеки вовсе не обязательно переделывать всю прошивку, а достаточно в итоге несколько файлов поменять - может есть какой сайт "ручных обновлений" где это ведётся трекинг уязвимостей разных версий Андроида и обсуждается их ручное запатчивание? "Остается только самому пилить патч/прошивку" - что курить чтобы этому научиться, например, в своё время искал вводные материалы - как-то ничего не нашёл...

[vovkab]

Из русскоязычных сайтов самый адекватный - форум на 4pda.ru, из англоязычных - forum.xda-developers.com.
Из книжек нужно почитать - Embedded Android: Porting, Extending, and Customizing.

Все что написано ниже вы делаете на свой страх и риск.
Как именно патчитить ссл я не в курсе, но просто что бы показать направление в котором нужно идти, то вся процедура по пропатчиванию может выглядеть так:
1. Скачивается версия исходников андроида отсюда source.android.com. Если у вас скажем установлена версия андроида 4.1 качаете ее.
2. В начале просто собираете все как есть по инструкции с сайта.
3. Вытаскиваете библиотеки и бинарники относящиеся к ссл и заливаете ее на свое устройство. Если устройство все еще работает нормально, вам повезло. (с либами типа ссл, по идее не должно быть особых проблем, обычно производители их не трогают).
4. Патчите уже исходники ссл, заново пересоираете и далее заливаете снова на устройство (3)

Answer 5

[Виталий]

Думать что их нет:)

Comments

[Виталий]

Если не помогло думать более убедительно:)