Google: "CIA kan inte hacka nya Android-enheter"

Tråden skapades och har fått 32 svar. Det senaste inlägget skrevs .

Efter att Wikileaks i tisdags publicerade material som avslöjar att CIA har metoder för att hacka Android-enheter uppger nu Google att många av säkerhetsluckorna redan täppts till.

Läs hela artikeln här

Som Assange sa i senaste live webcast han gjorde: iOS är säkrare än Android - det beror på olika tekniker/koder så klart (två OS kan omöjligt vara lika säkra/osäkra - NÅGON måste vara säkrare/osäkrare än den andra - men mest beror det på - som Assange sa - att Android-folk inte uppdaterar sina smartphones/plattor i samma utsträckning och hastighet som iOS-användare. Det är DET som är grejen; uppdatera! Direkt! Bums!

  • Medlem
  • 2017-03-10 16:03
Ursprungligen av Demiurgen:

Som Assange sa i senaste live webcast han gjorde: iOS är säkrare än Android - det beror på olika tekniker/koder så klart (två OS kan omöjligt vara lika säkra/osäkra - NÅGON måste vara säkrare/osäkrare än den andra - men mest beror det på - som Assange sa - att Android-folk inte uppdaterar sina smartphones/plattor i samma utsträckning och hastighet som iOS-användare. Det är DET som är grejen; uppdatera! Direkt! Bums!

IOS är säkrare än Android medan Samsung KNOX är säkrast av alla 😊

  • Medlem
  • 2017-03-10 16:10
Ursprungligen av Demiurgen:

Som Assange sa i senaste live webcast han gjorde: iOS är säkrare än Android - det beror på olika tekniker/koder så klart (två OS kan omöjligt vara lika säkra/osäkra - NÅGON måste vara säkrare/osäkrare än den andra - men mest beror det på - som Assange sa - att Android-folk inte uppdaterar sina smartphones/plattor i samma utsträckning och hastighet som iOS-användare. Det är DET som är grejen; uppdatera! Direkt! Bums!

Jag som moddar Android med Lineage OS nightlies kan garantera att de är "säkrare" än senaste stabila IOS (eller dess beta). Jag sätter ordet inom citationstecken eftersom det också handlar om handhavande av de inbyggda säkerhetsinställningarna. Å andra sidan är stock ROM Android en mardröm. Men det är tillverkarnas fel. Jag har för övrigt en Iphone 5s som vardagsmobil.

  • Medlem
  • 2017-03-10 16:14
Ursprungligen av PaO:

IOS är säkrare än Android medan Samsung KNOX är säkrast av alla 😊

Jag litar inte på proprietära säkerhetslösningar. Koden kan inte granskas.

Det skulle vara intressant att se någon bena ut senaste läckan med CIA-verktyg. Så att man förstår.
Det framgår inte av det jag hittils läst hur framgångsrika dessa hacks egentligen är.
Och - detta bör benas ut och spridas till allmänheten som idag tror att hackare kan ta över telefoner hursomhelst - är det inte så att många av dessa hacks kräver att man fysikt kommer över telefonen och installerar saker? Detta gäller många klassiska spionverktyg som härjat för PC's i många år.
Jag är novis - nörd men dock novis när det gäller kod och hårdvarans detaljerade uppbyggnad - och jag har svårt att tro att CIA kan ta över min iPhone bara genom att...ja, vad då? Skicka ett mail med kod? Som jag då förhoppningsvis öppnar i just min iPhone? Klämma in kod via ett WiFi (på ett fik t.ex.) som jag också är uppkopplad till? (vilket jag aldrig är...4G går snabbare än alla WiFi på fik etc jag någonsin testat...gav upp och skiter helt i offentliga WiFi...t.o.m. på jobbet är WiFi segare än 4G )
Alltså; hur "lätt" är det egentligen för CIA etc att verkligen ta över en telefon på distans? Är det inte de facto MYCKET svårt och t.o.m. omöjligt? Hur effektiva ÄR dessa verktyg? Och jag menar ett övertagande utan fysisk kontakt med apparaten.
Någon som har info om detta?

Ett bevisat hack som tar över SmartTV (Samsung m.m.) och t.o.m. kan aktivera mick+kamera - läste jag om för 2 år sedan. Är inte denna CIA-läcka en samling gamla verktyg som sedan länge är mer eller mindre värdelösa?

Den enda "skandalen" i detta - och det verkar Assange också driva - är CIA's totala inkompetens att hålla tätt och att dom använder spioneri för att gynna privat amerikansk bizniz. Att dom håller på med spioneri och givetvis utvecklar spionverktyg kan väl ändå inte vara någon överraskning? Det är ju deras JOBB. Det är därför dom får skattemedel av medborgarna!

  • Medlem
  • Stockholm
  • 2017-03-10 17:29

"CIA kan inte hacka nya Android-enheter med de några år gamla tekniker som beskrivs i den senaste läckan"

samma gäller väl för iOS.

Ursprungligen av Alix:

Jag litar inte på proprietära säkerhetslösningar. Koden kan inte granskas.

Du har helt rätt (jag håller med dig i princip här). Proprietära system för säkerhet är inte en bra lösning.

Det man däremot kan säga om din kommentar: Du hänger på ett forum för macar - man får anta att du har en Mac och/eller en iOS-enhet? Säkerhetsaspekterna i en iOS-enhet är i allra högsta grad proprietära. De hanteras av ett helt eget, slutet, litet proprietärt system. Detsamma gäller MBP med TouchBar som också har ett sådant system, precis som alla Intel och AMD-processorer också har idag.

  • Medlem
  • 2017-03-10 18:05
Ursprungligen av hansfilipelo:

Du har helt rätt (jag håller med dig i princip här). Proprietära system för säkerhet är inte en bra lösning.

Det man däremot kan säga om din kommentar: Du hänger på ett forum för macar - man får anta att du har en Mac och/eller en iOS-enhet? Säkerhetsaspekterna i en iOS-enhet är i allra högsta grad proprietära. De hanteras av ett helt eget, slutet, litet proprietärt system. Detsamma gäller MBP med TouchBar som också har ett sådant system, precis som alla Intel och AMD-processorer också har idag.

Jo, men jag är privatperson. Som företagare hade jag sökt en open source-lösning. Samsung Knox är en företagstjänst.

  • Medlem
  • 2017-03-10 18:29
Ursprungligen av Demiurgen:

Det är DET som är grejen; uppdatera! Direkt! Bums!

Grejen är väl att telefonerna knappt går att uppdatera om du inte köper en Nexus. Sitter du på en Samsung-tlefon kan du få vänta månader eller år innan nya versioner av Android kommer, om det ens kommer några uppdateringar alls.

  • Medlem
  • 2017-03-10 18:59
Ursprungligen av Dalle:

Grejen är väl att telefonerna knappt går att uppdatera om du inte köper en Nexus. ...

Oneplus uppdaterar sitt OS ofta också.

  • Medlem
  • 2017-03-10 19:31
Ursprungligen av Dalle:

Grejen är väl att telefonerna knappt går att uppdatera om du inte köper en Nexus. Sitter du på en Samsung-tlefon kan du få vänta månader eller år innan nya versioner av Android kommer, om det ens kommer några uppdateringar alls.

En sanning med modifikation
Samsung är jätte sena med uppdateringar gällande nya Androidversioner det håller jag med om. Men Googles säkerhetsuppdateringar kommer varje månad även till äldre telefoner.
Men out of the box är IOS säkrare medan Samsung KNOX är säkrast

Det spelar ju ingen roll hur ofta en OS-leverantör uppdaterar sitt OS...om folk inte laddar ner och installerar dessa släpp.
Det var ett tag sedan jag såg statistiken, men iOS uppdateras av iOS-användare med en hastighet och omfattning som Android-världen bara kan drömma om. Orsakerna till detta är kända, men så är det...och därför är iOS rent statistiskt "säkrare" i verkliga världen.

Å andra sidan - om vi snackar om t.ex. CIA - så kan man ju föreställa sig att personer som kan misstänka att underrättelsetjänster vill snoka i deras liv - och kör med Android - håller sin telefon uppdaterad. Där jämnar det nog ut sig. Men jag föreställer sig att dom flesta som CIA snokar på inte alls känner sig det minsta bevakade...ty det handlar inte ett skvatt om terrorister och globalkriminella, nej det handlar om affärsmän i stora företag...det är dom som CIA anser vara prioritet nummer ett (och demokratiskt valda politiker) - ty CIA verksamhet verkar numera (sedan Sovjet föll) handla om att underlätta för big biz på hemmaplan...alltså privatägda företag (i USA finns inte många staligt ägda företag ). Föreställ er att vår svenska underrättelsetjänst jobbade i stor utsträckning på att hjälpa familjen Walenberg med stora affärer i andra länder!

Alla människor - kloka eller inte - kan ta fram en säker lösning som de själva inte kan hacka.
Det betyder inte att lösning varken är omöjlig att hacka eller ens säker.

Senast redigerat 2017-03-11 02:35
  • Medlem
  • Stockholm
  • 2017-03-11 06:13
Ursprungligen av Demiurgen:

Å andra sidan - om vi snackar om t.ex. CIA - så kan man ju föreställa sig att personer som kan misstänka att underrättelsetjänster vill snoka i deras liv - och kör med Android - håller sin telefon uppdaterad.

https://www.wired.com/2017/01/trump-android-p...

Citat:

Even if you’re not a security expert, some potential dangers of keeping an insecure device in the White House probably come to mind right away. There’s a reason President Obama had to make do with a heavily modified BlackBerry for most of his time in office, and why security officials reportedly issued Trump a locked-down device when he took office. One that he apparently doesn’t always use. If Trump does use his old Android smartphone in his spare time—which recent @realDonaldTrump tweets sent from Android seems to support—he’s leaving himself exposed to all manner of unsavory outcomes.

En gammal Samsung ("make Korea great again?") från tiden när de nu läckta exploitsen funkade. Och eftersom det är Samsung lär den väl inte fått många uppdateringar.

Ursprungligen av Demiurgen:

Föreställ er att vår svenska underrättelsetjänst jobbade i stor utsträckning på att hjälpa familjen Walenberg med stora affärer i andra länder!

Regeringen hjälper ju till, så indirekt finns stöd från svenska underrättelsetjänster.

  • Medlem
  • 2017-03-11 08:45
Ursprungligen av oskard:

https://www.wired.com/2017/01/trump-android-p...

En gammal Samsung ("make Korea great again?") från tiden när de nu läckta exploitsen funkade. Och eftersom det är Samsung lär den väl inte fått många uppdateringar.

i

Obama gick från sin special Blackberry till en specialiserad Samsung Galaxy S4.

http://www.androidpolice.com/2016/06/14/presi...

Ursprungligen av PaO:

i

Obama gick från sin special Blackberry till en specialiserad Samsung Galaxy S4.

http://www.androidpolice.com/2016/06/14/presi...

Samsung Knox är lika osäkert som vilket alternativ som helst när man inte uppdaterar.

Knox starkaste kort är att den krypterar användning mellan privatliv och yrket.
https://www.google.se/amp/www.techrepublic.co...

  • Medlem
  • 2017-03-12 09:24
Ursprungligen av Mackan1984:

Samsung Knox är lika osäkert som vilket alternativ som helst när man inte uppdaterar.

Knox starkaste kort är att den krypterar användning mellan privatliv och yrket.
https://www.google.se/amp/www.techrepublic.co...

Håller helt med dig
Som jag skrev innan Samsung är riktigt långsamma på att uppdatera till ny Android version. Tror detta hänger ihop med att de brände sig på någon S telefon med att uppdatera snabbt. Däremot är deras säkerhetsuppdatering löpande även för äldre telefoner. Både min Note Edge och min S5 har uppdatering från januari 2017

  • Medlem
  • 2017-03-12 09:44
Ursprungligen av PaO:

... Däremot är deras säkerhetsuppdatering löpande även för äldre telefoner. ...

Jag sålde häromdagen två Samsung Galaxy S S7580 som stannade på Android 4.2.2 Jelly Bean och som aldrig fick någon mer uppdatering. Modellen släpptes så sent som 1 december 2013. Då var redan 4.4 Kitkat ute. Jag lade så klart in Lineage OS på dem innan jag sålde dem.

Ursprungligen av PaO:

Håller helt med dig
Som jag skrev innan Samsung är riktigt långsamma på att uppdatera till ny Android version. Tror detta hänger ihop med att de brände sig på någon S telefon med att uppdatera snabbt. Däremot är deras säkerhetsuppdatering löpande även för äldre telefoner. Både min Note Edge och min S5 har uppdatering från januari 2017

Jag kan dock se väldigt lite relevans i detta samtalsämne då det enda intressanta med oss vanliga konsumenter är reklampengar och inget annat.

Det är inte Nordkorea vi lever i just nu så om du vill skriva att Löfven är en 💩 så kommer inte Säpo knacka på direkt.

Men men det finns ju även chatt-appar om man vill känna sig extra säker med sina samtal, typ Signal och Silent phone.

  • Medlem
  • Stockholm
  • 2017-03-16 00:17
Ursprungligen av Alix:

Jag som moddar Android med Lineage OS nightlies kan garantera att de är "säkrare" än senaste stabila IOS (eller dess beta). Jag sätter ordet inom citationstecken eftersom det också handlar om handhavande av de inbyggda säkerhetsinställningarna. Å andra sidan är stock ROM Android en mardröm. Men det är tillverkarnas fel. Jag har för övrigt en Iphone 5s som vardagsmobil.

Och hur kan du garantera det menar du?

Du blandar nog ihop "senare" med "säkrare".

  • Medlem
  • Stockholm
  • 2017-03-16 00:22
Ursprungligen av Alix:

Jag litar inte på proprietära säkerhetslösningar. Koden kan inte granskas.

Inte bara fel, utan irrelevant också.

- Delar av källkoden till iOS finns som öppen källkod (opensource.apple.com).
- Det går utmärkt att granska kod som är kompilerad. Man kanske måste kunna lite mer än en scriptkiddie, men i övrigt går det bra.
- Säkerhetshål hittas ofta av automater genom att testa mot kompilerad kod, inte särskilt ofta därför att någon har granskat koden.

Ursprungligen av ragges:

Inte bara fel, utan irrelevant också.

- Det går utmärkt att granska kod som är kompilerad. Man kanske måste kunna lite mer än en scriptkiddie, men i övrigt går det bra.

Det går är inte riktigt samma sak som går utmärkt. Det är svårt att få en överblick över dekompilerad kod . Jag måste säga att din post känns mer tagen ur luften än som att du är en erfaren utvecklare - eller är du utvecklare med vana av att kika på dekompilerad kod?

  • Medlem
  • 2017-03-17 14:08
Ursprungligen av ragges:

Och hur kan du garantera det menar du?

Du blandar nog ihop "senare" med "säkrare".

Android trycker ut säkerhetsuppdateringar mer frekvent än Apple och de är snabbt tillgängliga i Lineage OS och andra open source-ROM. Här.

Ursprungligen av ragges:

Inte bara fel, utan irrelevant också.

- Delar av källkoden till iOS finns som öppen källkod (opensource.apple.com).
- Det går utmärkt att granska kod som är kompilerad. Man kanske måste kunna lite mer än en scriptkiddie, men i övrigt går det bra.
- Säkerhetshål hittas ofta av automater genom att testa mot kompilerad kod, inte särskilt ofta därför att någon har granskat koden.

De svaga punkterna i ditt resonemang fetar jag här ovan.

Ursprungligen av Alix:

Jag litar inte på proprietära säkerhetslösningar. Koden kan inte granskas.

Då sitter du i en knepig sits - för din processor innehåller på proprietära säkerhetslösningar…

  • Medlem
  • Stockholm
  • 2017-03-17 17:01
Ursprungligen av Alix:

Android trycker ut säkerhetsuppdateringar mer frekvent än Apple och de är snabbt tillgängliga i Lineage OS och andra open source-ROM. Här.

De svaga punkterna i ditt resonemang fetar jag här ovan.

Då kanske du är bekant med att även till Android är det bara en delmängd av programvaran man har tillgång till källkod till, t ex så har man inte källkod till radiodelarna eller grafikdelarna, de har ofta har helt egen firmware, till och med device drivers i kärnan kan vara utan källkod. Det är många gånger där hålen finns. Likaså finns det vitala applikationer och annat som man inte har källkod till.

Det finns dock många andra väl så viktiga aspekter, som t ex att i många sämre Android-telefoner så har t ex radiodelen fritt tillgång till primärminne och kan göra vad den vill med det körande OS:et på sätt som är ganska lätta att dölja även för tillverkaren av telefonen (som ju köper färdiga chip), medan Apple och mer ansvarsfulla Android-telefontillverkare undviker sådana konstruktioner. Vissa usla Android-telefoner med fingeravtrycksläsare lägger fingeravtrycket som en bild i filsystemet fritt läsbar av alla program, det är bara att skriva ut och tillverka sin kopia så kan man låsa upp telefonen - mer ansvarsfulla tillverkare lägger den i helt separerad skyddad processor med eget minne, och lagrar den dessutom inte så att man rakt av kan tillverka sin egen kopia utan som det de brukar kalla för envägshash (fortfarande oklart hur säkert detta blir för fingeravtryck, men det är med dagens kända tekniker lite bättre i varje fall, och den dag det blir knäckt får man väl sluta använda fingeravtryck). Etc, etc.

Den enda Android-telefontillverkare som jag skulle handla av utan att dissikera allt först är Google, nästan alla av resten av tillverkarna brukar vara mer eller mindre skräp och det skulle kosta alldeles för mycket att undersöka dem jämfört med vad det är värt - om det ens är görligt utan utrusning för miljontals kronor och diverse insider-information från t ex chiptillverkarna. Detta är baserat på att nästan bara Apple och Google har förstått att de måste bry sig om användarnas säkerhet, de andra har gång på gång visat att de enbart är intresserade av att kränga telefoner.

Inlägg redigerat, trivselregler §1. /mod

Senast redigerat 2017-03-17 17:35
  • Medlem
  • Stockholm
  • 2017-03-17 17:08
Ursprungligen av hansfilipelo:

Det går är inte riktigt samma sak som går utmärkt. Det är svårt att få en överblick över dekompilerad kod . Jag måste säga att din post känns mer tagen ur luften än som att du är en erfaren utvecklare - eller är du utvecklare med vana av att kika på dekompilerad kod?

Jag både utvecklar kod och tittar på andras kod, av olika anledningar.

Får jag välja så föredrar jag ju att läsa källkod framför kompilerad kod, kompilerad kod kräver ofta mer arbete, men skillnaden är inte milsvid, och många gånger är kompilerad kod det enda som finns att tillgå - även för Android-telefoners vitala delar.

  • Medlem
  • 2017-03-17 17:56
Ursprungligen av ragges:

Då kanske du är bekant med att även till Android är det bara en delmängd av programvaran man har tillgång till källkod till, t ex så har man inte källkod till radiodelarna eller grafikdelarna, de har ofta har helt egen firmware, till och med device drivers i kärnan kan vara utan källkod. Det är många gånger där hålen finns. Likaså finns det vitala applikationer och annat som man inte har källkod till.

Det finns dock många andra väl så viktiga aspekter, som t ex att i många sämre Android-telefoner så har t ex radiodelen fritt tillgång till primärminne och kan göra vad den vill med det körande OS:et på sätt som är ganska lätta att dölja även för tillverkaren av telefonen (som ju köper färdiga chip), medan Apple och mer ansvarsfulla Android-telefontillverkare undviker sådana konstruktioner. Vissa usla Android-telefoner med fingeravtrycksläsare lägger fingeravtrycket som en bild i filsystemet fritt läsbar av alla program, det är bara att skriva ut och tillverka sin kopia så kan man låsa upp telefonen - mer ansvarsfulla tillverkare lägger den i helt separerad skyddad processor med eget minne, och lagrar den dessutom inte så att man rakt av kan tillverka sin egen kopia utan som det de brukar kalla för envägshash (fortfarande oklart hur säkert detta blir för fingeravtryck, men det är med dagens kända tekniker lite bättre i varje fall, och den dag det blir knäckt får man väl sluta använda fingeravtryck). Etc, etc.

Den enda Android-telefontillverkare som jag skulle handla av utan att dissikera allt först är Google, nästan alla av resten av tillverkarna brukar vara mer eller mindre skräp och det skulle kosta alldeles för mycket att undersöka dem jämfört med vad det är värt - om det ens är görligt utan utrusning för miljontals kronor och diverse insider-information från t ex chiptillverkarna. Detta är baserat på att nästan bara Apple och Google har förstått att de måste bry sig om användarnas säkerhet, de andra har gång på gång visat att de enbart är intresserade av att kränga telefoner.

Inlägg redigerat, trivselregler §1. /mod

Jag har från början skrivit om Lineage OS och andra öppna ROM där alla sådana här säkerhetsbrister gås igenom så noggrant som möjligt. Jag är på det klara med att tillverkarnas egna ROM är opålitliga. Det blir inte en konstruktiv debatt om vi talar om olika saker.

  • Medlem
  • Stockholm
  • 2017-03-17 19:31
Ursprungligen av Alix:

Jag har från början skrivit om Lineage OS och andra öppna ROM där alla sådana här säkerhetsbrister gås igenom så noggrant som möjligt. Jag är på det klara med att tillverkarnas egna ROM är opålitliga. Det blir inte en konstruktiv debatt om vi talar om olika saker.

Jag försöker förklara att det bara är vissa delar även i dessa "öppna ROM" som har källkod, andra delar finns bara som binärblobbar - även säkerhetskritiska delar.

Du verkar också ha en stark övertro på behovet av källkod. Jag repeterar: Få hål hittas genom granskning av källkod eller maskinkod, det mesta hittas med automater, varav de flesta används mot maskinkod. Dessutom går även maskinkod går utmärkt att analysera av människor. Både iOS och Android-"öppna ROM" har alltså både delar som det finns källkod till och delar som det bara finns maskinkod till. Skillnaden ur det avseendet är alltså närmast obetydlig och försvinner i bruset av alla andra problem.

Det finns ingen tillgänglig statistik eller annan information som kan användas för att ange vad som är säkrast, så ditt uttalande om att du "kan garantera att de är "säkrare" än senaste stabila IOS" är helt enkelt ingenting värt.

Likaså är inte "senare" nödvändigtvis samma sak som "säkrare" - ett av problemen med Linuxkärnan är att för många stoppar i för mycket för ofta, så nya säkerhetsproblem införs också i hög takt.

Både Apple och Google kan trycka ut kritiska patchar, oftast någon slags mitigation-åtgärd, på timmar om de vill, och gör det ibland. Det kan vara åtgärder mot fel i deras egna saker eller andra hot, t ex elaka program man har identifierat. Det är (tyvärr) svårt att slå detta med de frivilliga insatser som ligger bakom de "öppna ROM" som finns idag.

Jag tycker det är utmärkt att det finns sk "öppna ROM" (även om det bara är delar som är öppna och namnet i den betydelsen är falskt), men att hävda att de är säkrare finns det alltså inget som helst fog för.

Det är lovvärt att du är säkerhetsinresserad, men jag är övertygad om att det skulle göra mycket mer nytta om du kom ut ur "öppna-ROM"-bubblan. Men vill du inte fundera på detta så är det inget jag kan göra.

  • Medlem
  • 2017-03-17 20:20
Ursprungligen av ragges:

... Det är lovvärt att du är säkerhetsinresserad, men jag är övertygad om att det skulle göra mycket mer nytta om du kom ut ur "öppna-ROM"-bubblan. Men vill du inte fundera på detta så är det inget jag kan göra.

När jag skriver "säkerhetsbrister gås igenom så noggrant som möjligt" så betyder det implicit att jag inser att det finns säkerhetsbrister även i öppna ROM. Jag lever inte i någon "'öppna-ROM'-bubblan" mer än att jag hellre befinner mig i en sådan ROM än i en äldre, ouppdaterad ROM från en tillverkare som rycker på axlarna. Jag tror inte att det finns några säkra system överhuvudtaget, om det nu var det du tolkade in i vad jag ursprungligen skrev. De är alla kompromisser av ett närmast oändligt antal disparata viljor. I övrigt tycker jag att du har en otrevlig ton och därför tänker jag inte fortsätta debattera med dig.

Bevaka tråden