wizzard: (Default)
Ну, все знают, что телефон на Андроиде никогда не теряется, потому что всегда лежит возле розетки?

Now it's official. Блин, это же официальная презентация, они серьезно это вообще? Хорошо хоть за часами провода по сцене не таскают.

(1) http://youtu.be/wtLJPvx7-ys?t=49m15s

(2) что вы хотите сделать с телефоном, садясь в машину? правильно, переткнуть его в машину!
http://youtu.be/wtLJPvx7-ys?t=1h37m29s

и да, Google announces 93% of users are now on one of the last 16 versions of Android. И судя по всему, это еще далеко не последний отжиг!

UPD: "All corporate files must live on google drive!"

Дооо, дооо, http://searchaws.techtarget.com/news/2240223024/Code-Spaces-goes-dark-after-AWS-cloud-security-hack

UPD: а теперь у них заглючил конект на демо Cloud Save ;)

wizzard: (Default)
> сегодня выяснилось, что ведробраузер при клике на инпут делает его копию, которая к тому же не скроллится
> https://code.google.com/p/android/issues/detail?id=30964 я блядь устал
> "в нашем доме при открывании двери на первом этаже почему-то открывается дверь на пятом, причем в обратную сторону, выламывая проём. Можно перед этим звонить в 15-ю квартиру, тогда норм, но лифт начинает ездить только на крышу"

(дебажили долго, потому что ну кому в голову может такое прийти?)
wizzard: (Default)
а вот какая есть нормальная CardDAV синкалка?

из фич нужен SSL Pinning и, гм, чтобы не делало как CardDav Sync который работал-работал а потом Contacts начали падать при заходе в его контакты :/

для WP8 тоже актуально.
wizzard: (Default)
В общем, вот люди нашли еще одно (возможное) отверстие в криптолибах, на сей раз в Андроиде - просто так взяли и закоммитили другой список дефолтных параметров шифрования, на который есть известные атаки. Или неизвестные ;)

Open Source, да. Три года коммиту.

tl;dr

Android is using the combination of horribly broken RC4 and MD5 as the first default cipher on all SSL connections. This impacts all apps that did not care enough to change the list of enabled ciphers (i.e. almost all existing apps). This post investigates why RC4-MD5 is the default cipher, and why it replaced better ciphers which were in use prior to the Android 2.3 release in December 2010.

read more: http://op-co.de/blog/posts/android_ssl_downgrade/
10x @hedin
wizzard: (Default)
это.. просто.. у меня нет слов.

короче, упаковываете classes.dex в APK два раза. проверяется одно, грузится другое.

that's it. PoC: https://github.com/Fuzion24/AndroidMasterKeys/

заведу тэг epic fail.
wizzard: (Default)


This vulnerability makes it possible to change an application’s code without affecting the cryptographic signature of the application – essentially allowing a malicious author to trick Android into believing the app is unchanged even if it has been.

Details of Android security bug 8219321 were responsibly disclosed through Bluebox Security’s close relationship with Google in February 2013. It’s up to device manufacturers to produce and release firmware updates for mobile devices (and furthermore for users to install these updates). The availability of these updates will widely vary depending upon the manufacturer and model in question.

The screenshot below demonstrates that Bluebox Security has been able to modify an Android device manufacturer’s application to the level that we now have access to any (and all) permissions on the device.

http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

все-таки я не верю, что они его допилят до юзабельного состояния. security надо-строить-снизу, а не сверху...

плюс, по описанию это вообще на бэкдор похоже, уж очень чисто работает.

и да, вы представляете, люди из liberationtech mailing list (ну там обсуждают всякие gentoo, tor, i2p и т.д.) примерно одновременно внезапно поняли, зачем же нужен UEFI/Secure Boot! он конечно упирается в доверие юзера к вендору, но, блин, проблема выбора вендора - это уже другой вопрос...
wizzard: (Default)
3200х1800 13.3", dual-boot windows/android, 1.2 кг, стилус и 9 часов от батареи, говорите?
эта штука имеет хорошие шансы стать моей следующей рабочей машинкой... если там будет 3G и достаточно RAM/SSD ;) потому что 4 гб поделенные между виндой и андроидом это как-то ммм странно.

wizzard: (Default)
как, вот как такое - http://habrahabr.ru/post/180985/ могло вообще пролезть в продакшен для *мобильных* устройств?

короче, +1 пункт в копилку костылей, потихоньку всплывающих.

интересно, к какой-нибудь 10 версии его допилят до ума, или нет?
wizzard: (Default)
Many devices are concerned :
- Samsung Galaxy S2
- Samsung Galxy Note 2
- MEIZU MX
- potentialy all devices who embed exynos processor (4210 and 4412) which use Samsung kernel sources.

http://www.xda-developers.com/android/no-odin-root-exploit-found-for-exynos-4412-and-4210/

keep your encryption keys away from these devices, вообщем.
wizzard: (Default)
продал Motorola Xoom (32g+CDMA 3G), купил Dell Venue Pro (16G+UMTS/HSPA)

первые впечатления:

1. Оба девайса красивые. Слайдер делла слегка хлипкий, но в остальном корпус и клавиатура отличные.

2. Оно не тормозит. Приятно, черт побери. И неожиданно. 

3. Маркет пустой. От слова "вообще". Зато есть OneNote и Remember the Milk, оба работают отлично.

4. Zune а) не тормозит б) синхронизирует музыку по wifi в) управляется без мышки (не спрашивайте, зачем мне понадобилось). 
Я думал, будет хуже.

5. Да, оно действительно не тормозит. Мобильный IE тоже. Удивительно. И пока ничего не сыпет диалогами "приложение блабла скрешилось", что меня вконец задолбало в Андроиде.

6. Gtalk'a нет, imo.im нет, Скайпа нет. Хныыы. Самому написать, штоле...

7. Блютус отлично работает с аудио, и не работает с видео. Говорят, known issue. Ололо.
wizzard: (Default)
> Dalvik's GC is cooperative and requires explicit interaction from all involved threads. The largest implication of this is that a thread must not execute for "long" periods of time before returning fully to Android. 



FFUUUUUUUUUUUUUUUUUU



А, да, а еще Mono на андроеде работает в 3 раза быстрее далвика на строках, и в 10-50 раз быстрее на математике (векторы и AES)



Жуть какая-то - чем глубже копаю, тем больше у меня возникает вопросов не то что о квалификации, а вообще о вменяемости разработчиков этого поделия... 

Толку с этого вашего опен сорса, если тысяча обезьян посмотрит на код, ничерта не поймет, и скажет "а, и так сойдет"? То же самое и с security, между прочим.

Есть хорошие исключения, но их очень мало. А такие вот вещи просто тупо позорят этот самый опенсорс, который, действительно, ни в чем не виноват, но типичная ситуация, когда всем фиолетово и никто не хочет брать на себя ответственность за говнокод - налицо.

Profile

wizzard: (Default)
wizzard

March 2017

S M T W T F S
    1234
567891011
12131415161718
19202122232425
262728293031 

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 1st, 2017 05:53 pm
Powered by Dreamwidth Studios