Операционная система андроид 2020

Уязвимости Android 2020

Привет, Хабр. Делимся с вами полезной статьей, автором которой является Александр Колесников.

Операционная система Android считается одной из самых защищенных операционных систем в наше время. Разработчики этой ОС на своем официальном сайте рассказывают, что в ОС сделано очень много работы для того чтобы создание традиционных эксплойтов было нерентабельно, сложно, невозможно. Возникает вопрос, а есть ли вообще уязвимости в ОС, которые могли бы привести к компрометации системы? Будут ли эти уязвимости отличаться от стандартных уязвимостей программного обеспечения? Можно ли найти эти уязвимости в CWE TOP 25? Или в Android уникальные уязвимости? Эта статья попытка собрать воедино несколько уязвимостей платформы Android в разных частях её архитектуры за 2020 год.

Архитектура ОС Android

Без описания хотя бы поверхностно работы этой ОС не обойтись, но постараемся сделать это максимально быстро. На картинке ниже представлена архитектура ОС Android.

Подробное её описание можно найти здесь. Нас же интересует всего 2 факта об архитектуре:

Каждый уровень архитектуры отделен друг от друга и выполняет функции на различных уровнях привилегий;

Все уровни Android впитали в себя самое лучшее, что было на момент создания ОС из других open source проектов с точки зрения безопасности.

Если объединить эти два факта, то получается, что для того чтобы атаковать эту операционную систему необходимо, чтобы у атакующего было в арсенале по 1 уязвимой функции на каждом из уровней ОС. Это достаточно серьезно усложняет процесс создания эксплойта для атаки на ОС. Однако, все равно ресечеры со всего мира находят способы как можно атаковать эту ОС и делают это достаточно успешно. Под эту деятельность даже есть отдельное мероприятие.

CVE-2020-0082

Уязвимость в операционной системе Android 10. Если обратиться к общей классификации уязвимостей CWE Top 25, то уязвимость можно отнести к классу CWE-502. Данный класс уязвимостей может возникать как в веб, так и в десктопных приложениях. Основной особенностью уязвимости считается тот факт, что при помощи нее можно абсолютно незаметно для ОС и пользователя внедрить свой код в уязвимое приложение. Возможно это за счет того, что объекты, которые подвергаются процедуре десериализации или сборке могут описывать функцию-сборщик, которая может выполнять производные функции. Уязвимость известна довольно давно и при неосторожном использовании функций десериализации может стать критической.

В ОС Android так и случилось. При успешном использовании уязвимости можно захватить контроль над привилегированным пользователем system_server.

Эксплуатация уязвимости возможна через создание объекта Parsel для » android.accounts.IAccountAuthenticatorResponse «.

CVE-2020-8913

Уязвимость в Android Play Сore библиотеке. Уязвимый receiver позволял перезаписывать файлы и запускать произвольный код в ОС. Запуск кода снова возможен за счет десериализации данных, которые передаются за счет объекта Parcel. Фрагмент эксплойта с использованием приложения Google Chrome:

CVE-2020-8899

Уязвимость в библиотеке для разбора картинок. Нельзя 100% утверждать, что это уязвимость Android, но все же эта версия ОC очень популярна. Используется на телефонах Samsung.

Как известно, различные вендоры мобильных устройств очень часто создают собственные модификации ОС Android и благополучно забывают о них.

Уязвимость в данном случае заключается в том, что происходит повреждение памяти процесса и приложение, которое использует уязвимую функцию для работы с изображениями. Падение эксплуатабельно и можно выполнять любые операции от имени привилегированного пользователя ОС. Уязвимость относится к классу CWE-787.

CVE-2020-0022

Уязвимость в BlueTooth стеке ОС Android 8 и 9. Уязвимость позволяет обрушить ОС. Класс уязвимости CWE-787.

Некорректная обработка длины пакета. Для триггера уязвимости достаточно отправить фрагментированные широковещательные запросы длиной 300 и 33 байт.

Выводы

Похоже, что даже разделение привилегий, использование самых передовых технологий не спасает от самых распространенных ошибок программного обеспечения. ОС можно атаковать и классическими эксплойтами на повреждение памяти и более современными аналогами, которые используют механизмы ОС.

Совсем скоро у нас стартуют курсы по Android-разработке двух уровней. Узнать подробнее о курсах можно по ссылкам ниже.

Источник

Как установить Android 11 на свой телефон, если это вообще возможно

Время пришло! Мы ждали этого уже несколько месяцев и вот наконец-то Google выкатила Android 11 для всех. Теперь он стал по-настоящему массовым и для его установки не надо принимать участие ни в каких программах тестирования, а достаточно просто скачать его на поддерживаемый смартфон и можно пользоваться. Естественно, все, кто имеет такую возможность, захотят сделать это как можно быстрее. Я уже попробовал обновиться и остался доволен, хотя до этого пользовался бета-версией. В этой статье я расскажу, как установить Android 11 уже сейчас. А заодно приведу список моделей, которые поддерживают установку. Если среди них есть ваше устройство, вам повело.

Android 11 хотят многие, но сейчас его могут получить далеко не все.

На какие телефоны можно установить Android 11

Среди устройств, на которые можно (или будет можно) установить Android 11, не так уж и мало моделей. Кроме Google Pixel второго поколения и старше, к ним можно отнести следующие смартфоны:

• Вся линейка Galaxy S10
• Вся линейка Galaxy Note 10
• Вся линейка Galaxy Note 20
• Вся линейка Galaxy S20
• Вся линейка Galaxy A (2019/2020 г.в.)
• Xiaomi Mi 9
• Xiaomi Mi 10
• Huawei P20, P30, P40
• Huawei Mate 20, Mate 30, Mate 40
• Вся линейка Honor 20
• Все смартфоны OnePlus с 6-й модели
• Все смартфоны Oppo, Realme и Vivo 2019-2020 г.в.

Есть и другие модели, но на первых порах выпуск Android 11 и вовсе ограничен смартфонами Google Pixel. Чуть позже, но как заверяет Google, совсем скоро, обновления получат смартфоны OnePlus, Xiaomi, Oppo и Realme. Впрочем, все логично. Примерно так было и в прошлый раз.

Новый Android всегда радует глаз.

Pixel тем и хорош, что он максимально приближен к Google. В итоге он не просто часто и долго получает обновления, но делает это первым. Он же является примой в отношении бета-версий. Все преимущества на его стороне. Так получилось и с Android 11.

К счастью, обновиться до Android 11 довольно просто. Из минусов можно отметить то, что Google еще не нашла способ делать эти обновления автоматическими, поэтому от пользователя требуется совершить пару телодвижений. Пусть они и занимают всего несколько секунд, но сделать это надо.

Android 11 сделает беспроводной доступ к Android Auto доступным почти для всех

По сути, есть два способа обновить Google Pixel. Мы рассмотрим каждый из них, но первый будет самым простым, а второй — сложным. Я устанавливал Android 11 на старенький редакционный Google Pixel 2 XL, но процедура не будет отличаться для других моделей.

Как обновить Android 11 по воздуху

Обновление по воздуху бесспорно является самым простым способом обновления любого смартфона, и в том числе Google Pixel.

Для этого надо только открыть настройки телефона. После этого прокрутить вниз до раздела ”Система” (на других смартфонах может называться иначе) и в открывшемся меню выберите ”Дополнительно”, далее откройте ”Обновление системы”.

Вот так проще всего обновить Android.

Почему мне не пришло обновление Android 11

Теперь ваш смартфон проверит наличие обновлений. Самое интересное, что он может не найти его. У меня так и было, но я еще раз нажал кнопку ”Проверить обновления” и оно появилось. Еще раз отмечу, что это относится только к тем смартфонам, которые в принципе поддерживают обновление.

Если все нормально, то после повторного поиска вам будет предложено ”Скачать и установить” Android 11. Это все — дальше останется только соглашаться на предложенные действия (вроде перезагрузки). Такой простой способ.

Как установить Android 11 через компьютер

Следующий способ обновления Android до одиннадцатой версии намного сложнее. Его следует использовать только в том случае, если ваш телефон по какой-то причине не получает обновления по воздуху.

Вам надо будет скачать zip-архив с инструментами, чтобы принудительно выполнить обновление. Вам стоит обратить на это пристальное внимание, так как есть много шагов, и если вы сделаете что-то не так, скорее всего, это не сработает.

Во-первых, вам нужно будет загрузить Android SDK с веб-сайта Android Developer. Затем надо будет открыть командную строку или терминал (в зависимости от операционной системы вашего компьютера) и запустить нужные файлы.

Теперь, когда SDK установлен, следующим шагом является включение настроек разработчика и отладки по USB. Это нужно для следующих шагов.

Для этого сначала зайдите в Настройки. Затем прокрутите вниз до «Система» и нажмите «О телефоне». После этого нажмите на поле ”номер сборки” семь раз. После того, как вы это сделаете, в нижней части экрана появится диалоговое окно с сообщением «Теперь вы разработчик». Вернитесь назад к разделу ”Система” и вы увидите пункт ”Параметры разработчика”.

Так включается отладка по USB

Зайдите в ”Параметры разработчика”, найдите USB-отладку и включите ее. Теперь подключите смартфон к компьютеру и нажмите «ОК» в диалоговом окне на телефоне с просьбой разрешить USB-отладку при подключении к этому компьютеру.

Используйте команду adb devices в командной строке или в терминале, чтобы убедиться, что он нормально работает с вашим устройством. Если вам будет сказано, что устройство не авторизовано, вам нужно еще будет дать разрешение.

Прежде, чем вы сможете что-либо сделать, вам нужно будет разблокировать загрузчик. Это не сложно и вам надо будет полностью выключить телефон. Затем нажмите и удерживайте кнопку питания и кнопку уменьшения громкости. Вы попадете в меню загрузчика.

Кроме того, вы можете использовать командную строку, чтобы сделать это — введите adb reboot bootloader. Теперь, чтобы разблокировать загрузчик, вам нужно будет использовать команду fastboot flashing unlock.

В Android 11 Google отберет у пользователей свободу использования камеры

Телефон спросит, точно ли вы хотите разблокировать загрузчик, так как это сбросит настройки устройства. С помощью кнопок регулировки громкости выберите «Да» или «Нет», затем нажмите кнопку питания, чтобы подтвердить совой выбор. Как только это будет сделано, введите fastboot reboot-bootloader.

Теперь, наконец, пришло время прошить этот OTA. Конечно, если вы делали это раньше, вам, вероятно, не нужно беспокоиться об этих последних двух шагах. И это тоже работает без разблокировки загрузчика. Но чтобы на самом деле прошить весь заводской образ, вам нужно будет его разблокировать.

В командной строке или окне терминала введите adb devices, чтобы убедиться, что ваше устройство подключено. Теперь надо перевести устройство в режим загрузчика. Выключите его, а затем нажмите и удерживайте кнопку питания и кнопку уменьшения громкости. Или введите adb reboot bootloader в командную строку.

Все еще уверены, что хотите установить Android 11?

Теперь дважды нажмите кнопку уменьшения громкости, пока вы не прокрутите вниз до параметра «Режим восстановления». Затем нажмите кнопку питания, чтобы выбрать его. Как только вы это сделаете, это будет выглядеть так, как будто ваш телефон перезагружается, а затем на экране отобразится Android с красным восклицательным знаком над ним. Зажмите кнопку питания и нажмите кнопку увеличения громкости. Теперь вы будете в режиме восстановления.

Находясь в режиме восстановления, пролистайте до «Применить обновление из ADB», а затем нажмите кнопку питания, чтобы выбрать его.

В командной строке введите adb sideload [название OTA-файла].zip в качестве команды. Обычно файл проще переименовать, чтобы он не представлял собой случайную последовательность цифр и букв.

В режиме восстановления вы увидите статус обновления, загруженного на ваш телефон. В зависимости от размера до завершения процесса может потребоваться несколько минут. Но как только это произойдет, телефон перезагрузится и вернется к обычному экрану Android.

Этот способ намного сложнее обычного обновления ”по воздуху”. Поэтому я бы советовал несколько раз провести проверку обновлений. Если это не поможет, подождите какое-то время и снова проведите процедуру. Как обычно, подобные процессы могут привести к тому, что что-то пойдет не так. Оцените сами для себя, стоит ли оно пусть небольшого, но риска.

Источник

Выпущен Android 11. Что в нем нового? Видео

Google открыла доступ к первой бета-версии Android 11. ОС получила множество изменений, касающихся работы приложений, в особенности мессенджеров, и дополнительные средства защиты от слежки. Презентация системы ожидается в мае 2020 г.

Свежий Android

Компания Google начала распространение первой бета-версии ОС Android 11 для разработчиков (Developer Preview). Это ранняя модификация операционной системы, и в ней может не оказаться ряда функций, которые появятся в следующих сборках и финальном релизе.

Установить новую ОС можно исключительно путем перепрошивки с полным удалением уже установленной ОС (следует сделать резервную копию данных) и пока только на смартфоны Google Pixel – поддерживаются второе, третье и четвертое поколения. Оригинальные Pixel и Pixel XL в перечне не приведены – вероятно, финальную версию прошивки они тоже не получат.

Официальная презентация Android 11 может состояться в мае 2020 г. в рамках ежегодной конференции Google I/O, сроки релиза стабильного билда пока не утверждены. Напомним, что Android 10 вышла в августе 2019 г.

Новые возможности для мессенджеров

В первой бете Android 11 разработчики сконцентрировались на косметических изменениях. Так ОС позволяет свернуть каждый отдельный чат в мессенджере в отдельную пиктограмму для быстрого доступа к нему.

Иконка будет отображаться поверх всех других приложений, и касание к ней приведет к запуску всплывающего окна с перепиской. Данную функцию Google позволит интегрировать в любой современный мессенджер.

Дополнительно Google переработает шторку с уведомлениями, чтобы активное упростить использование большого числа приложений для обмена сообщениями. В Android 11 все уведомления мессенджеров будут группироваться в отдельную папку, чтобы они терялись в массе других сообщений.

Защита от слежки

В Android 11 появится возможность разового предоставления приложениям доступа к тем или иным аппаратным и программным компонентам устройства. В первую очередь это касается GPS-модуля.

Сейчас Android позволяет перманентно разрешать приложениям пользоваться, к примеру, фотокамерой, или, наоборот, запрещать им это на постоянной основе. В Android 11 пользователь сможет один раз открыть доступ к тем же GPS, микрофону, контактам и т.д.. Например, доступ к навигации можно дать для автоматического определения местоположения, а к камере – для разовой передачи снимка.

Это решение позволит экономить заряд батареи – приложения не смогут самостоятельно запускать те или иные аппаратные компоненты. Кроме того, у них не будет возможности регулярно отслеживать текущие координаты людей и подслушивать его разговор.

Поддержка нестандартных дисплеев и 5G

В Android 11 Google реализовала поддержку дисплеев с различными форматами. Система теперь поддерживает все формы вырезов и отверстий под фотокамеры, различные соотношения сторон, степени скругления боковых граней и даже устройства с двумя дисплеями.

Также в систему интегрирована полноценная поддержка сотовых модемов 5G. Это позволит приложениям отличать высокоскоростное интернет-соединение от LTE, 3G и EDGE и работать так же, как если бы они подключались к Сети по Wi-Fi.

Дополнительные изменения

Android 11, как и Android 10, не получит «сладкое» кодовое имя – Google пока не планирует возрождать эту традицию. В ОС изменится процесс системных обновлений за счет увеличения числа системных модулей, которые можно будет обновлять через Google Play System Update. Их станет больше на 12.

Google добавит в Android 11 видеокодеки с низкой задержкой и поддержку современного формата анимированных изображений HEIF. Помимо этого, ОС научится отключать любые вибрации во время фото- и видеосъемки и обзаведется различными режимами эффекта боке при портретной съемке.

Появится возможность тонкой настройки жестов управления: в частности, можно будет отрегулировать чувствительность к свайпам от края экрана), а Bluetooth перестанет отключаться при активации авиарежима. Также портал XDA-Developers обнаружил еще одно нововведение – функцию Battery Share, которой нет ни в одном из существующих смартфонов Google. Она позволяет смартфону работать в качестве беспроводного зарядного устройства, подзаряжая другие гаджеты по технологии Qi. Вероятно, это станет отличительной особенностью смартфонов линейки Pixel 5, дебют которой предварительно запланирован на осень 2020 г.

Источник