z*n
发帖数: 2893 | 1 除了S4, 所有1.6之后android设备都有问题...
hacker可以任意改动apk而不影响数字签名, 也就是说第三方可以任意夹带私货然后冒
充三爽/HTC/MOTO/SONY/ATT...给你的update, 用户在完全不知情的情况下也可以中招.
试想一下有人可以给你个正宗手机厂商数字签名的像机update, 然后自动上传你的像
片;或者hack任意一个要用location serivce的软件, 随时上传你的位置; 还有wallet.
...
这等同于在Windows上面有办法可以绕过设备驱动的数字签名, 直接在kernel权限下运
行.
发现者二月份就通知了狗狗, 现在市面上只有S4有patch, 现在只能保证从google play
上下载的apps是没有问题的. |
d********r
发帖数: 9331 | 2 就一个系统bug, 现在真是草木皆兵。
招.
wallet.
play
【在 z*n 的大作中提到】
: 除了S4, 所有1.6之后android设备都有问题...
: hacker可以任意改动apk而不影响数字签名, 也就是说第三方可以任意夹带私货然后冒
: 充三爽/HTC/MOTO/SONY/ATT...给你的update, 用户在完全不知情的情况下也可以中招.
: 试想一下有人可以给你个正宗手机厂商数字签名的像机update, 然后自动上传你的像
: 片;或者hack任意一个要用location serivce的软件, 随时上传你的位置; 还有wallet.
: ...
: 这等同于在Windows上面有办法可以绕过设备驱动的数字签名, 直接在kernel权限下运
: 行.
: 发现者二月份就通知了狗狗, 现在市面上只有S4有patch, 现在只能保证从google play
: 上下载的apps是没有问题的.
|
z*********e
发帖数: 10149 | 3 it looks disastrous
【在 d********r 的大作中提到】
: 就一个系统bug, 现在真是草木皆兵。
:
: 招.
: wallet.
: play
|
z*n
发帖数: 2893 | 4 这个不是普通的系统bug, 和当初PS3 root key被人倒算出来是一个量级的安全问题.
理论上hacker除了不能冒充GG给新的第三方应用签名,几乎啥都能搞了. 完全可以做个
apk, 里面阿猫阿狗填满私货然后冒充正经apk.
试想一下你高高兴兴的装一个Skype, 系统验证了确实是和google play里的签名一样,
结果一运行就直接格式化了你的flash...
【在 d********r 的大作中提到】
: 就一个系统bug, 现在真是草木皆兵。
:
: 招.
: wallet.
: play
|
g*******t
发帖数: 7704 | 5 故能玄虚, windows都这样多少年, 大家早都习惯了, |
z*n
发帖数: 2893 | 6 这是扯蛋, 能绕过windows driver的数字签名是啥年代的事情了?
再比如你install adobe reader的时候系统会提示你这app是adobe签名的,你啥时候看
到hacker能冒充adobe签名了?
你如果真信这,应当建议GG干脆把数字签名去了算了,"反正windows这样多少年, 大家早
习惯了".
【在 g*******t 的大作中提到】
: 故能玄虚, windows都这样多少年, 大家早都习惯了,
|
z*n
发帖数: 2893 | 7 直接干掉一大票五花八门的app store... |
z*n
发帖数: 2893 | 8 这扯得远了, 软件问题还是应当fix, 逼用户workaround总不是办法. 真要把国内那些
app store全关了, GG在国内还不给大家骂死.
问题从二月份就知道了, 到现在还没有fix, 够慢的. |
g*******t
发帖数: 7704 | 9 windows哪年才开始driver签名? windows多少年了,是白痴不用招摇,
即使不安装driver, 在win8安装个木马还不一样easy? 木马还要用driver?。win32
那些api 足够木马干任何事,
【在 z*n 的大作中提到】
: 这是扯蛋, 能绕过windows driver的数字签名是啥年代的事情了?
: 再比如你install adobe reader的时候系统会提示你这app是adobe签名的,你啥时候看
: 到hacker能冒充adobe签名了?
: 你如果真信这,应当建议GG干脆把数字签名去了算了,"反正windows这样多少年, 大家早
: 习惯了".
|
r*********n
发帖数: 4553 | 10 这事情对国外用户影响不大,因为大家都从google play下app,但对于国内确实很严重。
【在 z*n 的大作中提到】
: 这扯得远了, 软件问题还是应当fix, 逼用户workaround总不是办法. 真要把国内那些
: app store全关了, GG在国内还不给大家骂死.
: 问题从二月份就知道了, 到现在还没有fix, 够慢的.
|
|
|
f*****e
发帖数: 5177 | 11 狗狗do no evil。怎么总是向evil的软软看齐。
win32
【在 g*******t 的大作中提到】
: windows哪年才开始driver签名? windows多少年了,是白痴不用招摇,
: 即使不安装driver, 在win8安装个木马还不一样easy? 木马还要用driver?。win32
: 那些api 足够木马干任何事,
|
z*n
发帖数: 2893 | 12 !@#$ XP时代就有数字签名, 用没有signed driver会有warning. 你想说Android连十几
年前的XP都不如?
你给我个windows安装有正经公司数字签名的应用结果被放木马的例子?
这是洗地无极限, 连root key被搞都能是小问题, 有没有常识?
win32 API能干任何事情? 你有没有搞错, 知道啥叫UAC么?
win32
【在 g*******t 的大作中提到】
: windows哪年才开始driver签名? windows多少年了,是白痴不用招摇,
: 即使不安装driver, 在win8安装个木马还不一样easy? 木马还要用driver?。win32
: 那些api 足够木马干任何事,
|
z*n
发帖数: 2893 | 13 本版上很多下国内app的ID危险了.
重。
【在 r*********n 的大作中提到】
: 这事情对国外用户影响不大,因为大家都从google play下app,但对于国内确实很严重。
|
g*******t
发帖数: 7704 | 14 driver有warning, xp还是可以装,运行没有什么提示,
windows木马根本不需要什么警示, win32的api牛逼的, 那个classic shell就是一个
典型的木马技术, dll注入, 注入到exlorer的进程中,你可以研究一下源码, UAC根
本没用,dll直接注入windows的进程中,
win32的某些api绝对就是奇葩, 360那些流氓软件就是这样诞生的,
windows就是千疮百孔,根本补不完,只能靠用户人肉来防,
【在 z*n 的大作中提到】
: !@#$ XP时代就有数字签名, 用没有signed driver会有warning. 你想说Android连十几
: 年前的XP都不如?
: 你给我个windows安装有正经公司数字签名的应用结果被放木马的例子?
: 这是洗地无极限, 连root key被搞都能是小问题, 有没有常识?
: win32 API能干任何事情? 你有没有搞错, 知道啥叫UAC么?
:
: win32
|
g*******t
发帖数: 7704 | 15 windows的另一个垃圾的地方,一旦安装了一下流氓程序,很难彻底删除,
mac要容易多了, 直接删掉就行,
在mac不用太担心流氓软件问题,觉得不好,直接图标拖到垃圾箱,
windows下,全靠人肉来预防木马,流氓软件,
90%的电脑用户就这样过了十几年,以后用windows还会这样下去,
wsn觉得mac东西垃圾,太贵, 但mac没什么病毒,不用什么防毒软件, |
z*n
发帖数: 2893 | 16 你扯来扯去也没有办法把黑的说白啊. root key能被exploit是严重的安全问题, 你有
啥意见? 有问题直接说.
至于你对windows安全系统的外行言论, 真是不值一驳. UAC根本没用...
explorer shell extension? 你这属于纯扯蛋了,还注入dll? 是不是先搞应当明白那
dll咋就装上去了? 这楼不就是在说Android数字签名可以伪造,第三方能伪造签名冒
充正经应用骗用户安装么?你给我个Windows上能伪造数字签名装木马的例子?
【在 g*******t 的大作中提到】
: driver有warning, xp还是可以装,运行没有什么提示,
: windows木马根本不需要什么警示, win32的api牛逼的, 那个classic shell就是一个
: 典型的木马技术, dll注入, 注入到exlorer的进程中,你可以研究一下源码, UAC根
: 本没用,dll直接注入windows的进程中,
: win32的某些api绝对就是奇葩, 360那些流氓软件就是这样诞生的,
: windows就是千疮百孔,根本补不完,只能靠用户人肉来防,
|
d********r
发帖数: 9331 | 17 android给xp提鞋也不够,还谈超过?
【在 z*n 的大作中提到】
: !@#$ XP时代就有数字签名, 用没有signed driver会有warning. 你想说Android连十几
: 年前的XP都不如?
: 你给我个windows安装有正经公司数字签名的应用结果被放木马的例子?
: 这是洗地无极限, 连root key被搞都能是小问题, 有没有常识?
: win32 API能干任何事情? 你有没有搞错, 知道啥叫UAC么?
:
: win32
|
g*****g
发帖数: 34805 | 18 google play里的应用够多的,基本上啥需要都能满足。你不去野鸡论坛上
下apk,能有啥问题。
,
【在 z*n 的大作中提到】
: 这个不是普通的系统bug, 和当初PS3 root key被人倒算出来是一个量级的安全问题.
: 理论上hacker除了不能冒充GG给新的第三方应用签名,几乎啥都能搞了. 完全可以做个
: apk, 里面阿猫阿狗填满私货然后冒充正经apk.
: 试想一下你高高兴兴的装一个Skype, 系统验证了确实是和google play里的签名一样,
: 结果一运行就直接格式化了你的flash...
|
g*****g
发帖数: 34805 | 19 软毛就不要出来丢人了,当年xp被冲击波病毒狂搞,连下载都不用。
【在 z*n 的大作中提到】
: !@#$ XP时代就有数字签名, 用没有signed driver会有warning. 你想说Android连十几
: 年前的XP都不如?
: 你给我个windows安装有正经公司数字签名的应用结果被放木马的例子?
: 这是洗地无极限, 连root key被搞都能是小问题, 有没有常识?
: win32 API能干任何事情? 你有没有搞错, 知道啥叫UAC么?
:
: win32
|
g*******t
发帖数: 7704 | 20 windows的程序都可以随便安装, 360这些垃圾就是随便安装, class shell也正常安
装, 木马也可以正常安装, 没有任何问题, 所有的安装程序都能提升权限,
运行时,dll注入,windows没有什么提示,UAC没有任何提示,
安卓的情况还没有windows糟糕, 安卓安装比windows困难, windows多少年了都是下
载exe安卓, 安卓起码还是从play下载,
你个白痴根本没开发过windows系统程序,就不要乱叫,
【在 z*n 的大作中提到】
: 你扯来扯去也没有办法把黑的说白啊. root key能被exploit是严重的安全问题, 你有
: 啥意见? 有问题直接说.
: 至于你对windows安全系统的外行言论, 真是不值一驳. UAC根本没用...
: explorer shell extension? 你这属于纯扯蛋了,还注入dll? 是不是先搞应当明白那
: dll咋就装上去了? 这楼不就是在说Android数字签名可以伪造,第三方能伪造签名冒
: 充正经应用骗用户安装么?你给我个Windows上能伪造数字签名装木马的例子?
|
|
|
f*****e
发帖数: 5177 | 21 没觉得安猪安装比瘟都死困难呀。
ES explorer里面点击apk就直接装了。
【在 g*******t 的大作中提到】
: windows的程序都可以随便安装, 360这些垃圾就是随便安装, class shell也正常安
: 装, 木马也可以正常安装, 没有任何问题, 所有的安装程序都能提升权限,
: 运行时,dll注入,windows没有什么提示,UAC没有任何提示,
: 安卓的情况还没有windows糟糕, 安卓安装比windows困难, windows多少年了都是下
: 载exe安卓, 安卓起码还是从play下载,
: 你个白痴根本没开发过windows系统程序,就不要乱叫,
|
f*****e
发帖数: 5177 | 22 你让版上这么多用navigon/igo的同学们怎么活。
【在 g*****g 的大作中提到】
: google play里的应用够多的,基本上啥需要都能满足。你不去野鸡论坛上
: 下apk,能有啥问题。
:
: ,
|
c*c
发帖数: 2983 | 23 支持下developer也没错,navigon也就30多块钱,少吃顿饭就好了
【在 f*****e 的大作中提到】
: 你让版上这么多用navigon/igo的同学们怎么活。
|
f*******5
发帖数: 10321 | 24 fix早出了,只不过是发给电话厂家。得看厂家的更新。而且兼容性测试也包括测这个
问题,来保证新电话不会有同样问题
【在 z*n 的大作中提到】
: 这扯得远了, 软件问题还是应当fix, 逼用户workaround总不是办法. 真要把国内那些
: app store全关了, GG在国内还不给大家骂死.
: 问题从二月份就知道了, 到现在还没有fix, 够慢的.
|
z*n
发帖数: 2893 | 25 据说现在市面上就S4有fix, 其余全是裸奔。二月份就发现问题,确实够慢的。
不知道上次日历没有12月是多长时间解决的,印象中比这个要快。
【在 f*******5 的大作中提到】
: fix早出了,只不过是发给电话厂家。得看厂家的更新。而且兼容性测试也包括测这个
: 问题,来保证新电话不会有同样问题
|
z*n
发帖数: 2893 | 26 你这个中关村推销光盘的同行还和XP较劲呢?
【在 g*****g 的大作中提到】
: 软毛就不要出来丢人了,当年xp被冲击波病毒狂搞,连下载都不用。
|
z*n
发帖数: 2893 | 27 说了这么半天,你不会不知道数字签名是干啥的吧? windows应用安装,如果有adobe
的签名那保证就是adobe的binary, 这种检查数字签名都能出错的安全问题,太低级了
吧? 360这种流氓软件能冒充正经公司的update? 你是不是洗地洗糊涂了?
“所有的安装程序都能提升权限”,你这就是扯蛋。自己去查UAC是干什么的。
没开发过系统程序...认识我的人估计笑翻一片,你恐怕暴露的是自己的白痴。
【在 g*******t 的大作中提到】
: windows的程序都可以随便安装, 360这些垃圾就是随便安装, class shell也正常安
: 装, 木马也可以正常安装, 没有任何问题, 所有的安装程序都能提升权限,
: 运行时,dll注入,windows没有什么提示,UAC没有任何提示,
: 安卓的情况还没有windows糟糕, 安卓安装比windows困难, windows多少年了都是下
: 载exe安卓, 安卓起码还是从play下载,
: 你个白痴根本没开发过windows系统程序,就不要乱叫,
|
f*******5
发帖数: 10321 | 28 blackhat月底开,现在应该假设还没有恶意应用知道这个方法。对android来说,现在
最好就是私下里和厂家通气。如果google马上在开源源码上改了,坏人code diff一下
就分析出来问题在哪里了。
【在 z*n 的大作中提到】
: 据说现在市面上就S4有fix, 其余全是裸奔。二月份就发现问题,确实够慢的。
: 不知道上次日历没有12月是多长时间解决的,印象中比这个要快。
|
k***e
发帖数: 7933 | 29 nnd, 我的S3,经常安装apk。。。
【在 z*n 的大作中提到】
: 据说现在市面上就S4有fix, 其余全是裸奔。二月份就发现问题,确实够慢的。
: 不知道上次日历没有12月是多长时间解决的,印象中比这个要快。
|
z*n
发帖数: 2893 | 30 我想这和开源没关系,2月份GG知道问题,到现在只有S4有fix... GG为了藏秘密故意不
给大家patch, 这明显不合逻辑。 S4有fix, 其他不fix能藏住啥秘密?理论上讲看S4代
码照样能知道问题。
三哥当差,感觉啥都慢。
不过Android著名的管生不管养,用户遇到这种情况估计只有自求多福了。
【在 f*******5 的大作中提到】
: blackhat月底开,现在应该假设还没有恶意应用知道这个方法。对android来说,现在
: 最好就是私下里和厂家通气。如果google马上在开源源码上改了,坏人code diff一下
: 就分析出来问题在哪里了。
|
|
|
f*******5
发帖数: 10321 | 31 你太恶意揣度了。这么大的bug怎么会故意不给patch。这个是第三方安全公司给google
报的bug,按照惯例报告方会等一段时间,所以4月份bluebox发博客说有这个问题来拿
credit,细节要等blackhat。
google最好的策略就是尽量用好blackhat前的这段时间,让厂家尽快给较新的机器做好
update。如果大家能够统一在月底前出update是最好的情况。如果厂家不配合,那
google也没有办法,那就只能管自己的机器了。google完全可以给它nexus的机器先出
patch,如果这样代码就反映到AOSP里头,被人发现。其实即便只出patch,不给代码,
仍然是很大的风险。windows的很多危险bug就是等微软出patch然后分析不同点让人知
道的。
对用户来说,想装盗版软件月底之前赶紧装。
【在 z*n 的大作中提到】
: 我想这和开源没关系,2月份GG知道问题,到现在只有S4有fix... GG为了藏秘密故意不
: 给大家patch, 这明显不合逻辑。 S4有fix, 其他不fix能藏住啥秘密?理论上讲看S4代
: 码照样能知道问题。
: 三哥当差,感觉啥都慢。
: 不过Android著名的管生不管养,用户遇到这种情况估计只有自求多福了。
|
z*n
发帖数: 2893 | 32 和你说了S4已经有patch了,你说的这些都不成立。
我觉得你是太善意揣度了。GG要么是慢,要么是管生不管养。
google
【在 f*******5 的大作中提到】
: 你太恶意揣度了。这么大的bug怎么会故意不给patch。这个是第三方安全公司给google
: 报的bug,按照惯例报告方会等一段时间,所以4月份bluebox发博客说有这个问题来拿
: credit,细节要等blackhat。
: google最好的策略就是尽量用好blackhat前的这段时间,让厂家尽快给较新的机器做好
: update。如果大家能够统一在月底前出update是最好的情况。如果厂家不配合,那
: google也没有办法,那就只能管自己的机器了。google完全可以给它nexus的机器先出
: patch,如果这样代码就反映到AOSP里头,被人发现。其实即便只出patch,不给代码,
: 仍然是很大的风险。windows的很多危险bug就是等微软出patch然后分析不同点让人知
: 道的。
: 对用户来说,想装盗版软件月底之前赶紧装。
|
f*******5
发帖数: 10321 | 33 s4是什么时候发布的?5月份。是S4不受影响,而不是有patch。
【在 z*n 的大作中提到】
: 和你说了S4已经有patch了,你说的这些都不成立。
: 我觉得你是太善意揣度了。GG要么是慢,要么是管生不管养。
:
: google
|
z*n
发帖数: 2893 | 34 http://techcrunch.com/2013/07/04/android-security-hole/
" The vulnerability has apparently been around since Android v1.6 (Donut),
and was disclosed by the firm to Google back in February. The Samsung Galaxy
S4 has already apparently been patched."
S4 4月份release, 也就是说近三个月GG对其他用户无作为。 看来不是没有办法fix,确
实象管生不管养...
【在 f*******5 的大作中提到】
: s4是什么时候发布的?5月份。是S4不受影响,而不是有patch。
|
f*******5
发帖数: 10321 | 35 这个可不是说电话发布后单独的update,而是发布前就patch了,从时间表来看很合理。
Galaxy
【在 z*n 的大作中提到】
: http://techcrunch.com/2013/07/04/android-security-hole/
: " The vulnerability has apparently been around since Android v1.6 (Donut),
: and was disclosed by the firm to Google back in February. The Samsung Galaxy
: S4 has already apparently been patched."
: S4 4月份release, 也就是说近三个月GG对其他用户无作为。 看来不是没有办法fix,确
: 实象管生不管养...
|
z*n
发帖数: 2893 | 36 你想说啥?s4明显有fix, 你那GG不fix是想大家一起fix明显是不成立的。
其实如果数字签名验证部分是open source, bug的symptom也知道,懂行的人仔细看
code就有很大概率能知道问题在哪里。从现在开始用apk恐怕都是不安全的。
理。
【在 f*******5 的大作中提到】
: 这个可不是说电话发布后单独的update,而是发布前就patch了,从时间表来看很合理。
:
: Galaxy
|
f*******5
发帖数: 10321 | 37 我想说的是google二月份知道bug,然后通知厂家fix,S4是最新的电话,所以发布时里
头包括了fix。外人是拿不到S4的android源码,也不能进行二进制比对,所以S4有fix
即没对别人造成风险,也说明了google早和三星有沟通。
【在 z*n 的大作中提到】
: 你想说啥?s4明显有fix, 你那GG不fix是想大家一起fix明显是不成立的。
: 其实如果数字签名验证部分是open source, bug的symptom也知道,懂行的人仔细看
: code就有很大概率能知道问题在哪里。从现在开始用apk恐怕都是不安全的。
:
: 理。
|
z*n
发帖数: 2893 | 38 你是想说非需要有个有bug的binary, 然后在有个fix过的binary才能进行对比分析?
这恐怕太小瞧hacker了吧? 人家啥都没有都能找到这bug. 有Android的源代码,再有
S4的fix后的binary,还知道大概的问题表征,有经验的直接看code就有很大可能找到问
题。
这么严重的 security bug,不在第一时间给所有系统fix,这是没有任何道理的。
【在 f*******5 的大作中提到】
: 我想说的是google二月份知道bug,然后通知厂家fix,S4是最新的电话,所以发布时里
: 头包括了fix。外人是拿不到S4的android源码,也不能进行二进制比对,所以S4有fix
: 即没对别人造成风险,也说明了google早和三星有沟通。
|
f*******5
发帖数: 10321 | 39 hacker只会有google的android源码,没有三星改动后的源码。各厂家都是拿回去改完
了再编译。尤其三星还是改动特别的多。编译完的代码既可以把符号删掉,又可以扰乱
代码,再加上优化,连路径都不同,没准还被搞成二进制代码。你怎么和原版android
比。hacker要跳的障碍很多。正经的灰白帽子不会做费力不讨好拿不到credit的事情。
我从来不会低估hacker的能力,你要说搞黑产的黑帽子也许有丝毫的机会,这个投入产
出完全不值当。playstore现在也查利用这个bug的应用。防守方的一个办法就是让竟进
攻方接受不了成本。而盗版的应用,有那么多简单的办法可以拿到有用的数据或者资源
,研究这个干嘛。
btw,我知道有中国专业安全人员研究这个问题,还是处于等blackhat发布的状态。
你说说第一时间怎么给所有系统fix?
【在 z*n 的大作中提到】
: 你是想说非需要有个有bug的binary, 然后在有个fix过的binary才能进行对比分析?
: 这恐怕太小瞧hacker了吧? 人家啥都没有都能找到这bug. 有Android的源代码,再有
: S4的fix后的binary,还知道大概的问题表征,有经验的直接看code就有很大可能找到问
: 题。
: 这么严重的 security bug,不在第一时间给所有系统fix,这是没有任何道理的。
|
c*c
发帖数: 2983 | 40
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
请问你怎么看待windows的那些没有第一时间fix的security bug呢? 人家三月份就报
告了,5月底ms还没fix,结果人家怒了,要公开bug了:
http://www.computerworld.com/s/article/9239477/Google_engineer_
【在 z*n 的大作中提到】
: 你是想说非需要有个有bug的binary, 然后在有个fix过的binary才能进行对比分析?
: 这恐怕太小瞧hacker了吧? 人家啥都没有都能找到这bug. 有Android的源代码,再有
: S4的fix后的binary,还知道大概的问题表征,有经验的直接看code就有很大可能找到问
: 题。
: 这么严重的 security bug,不在第一时间给所有系统fix,这是没有任何道理的。
|
|
|
z*n
发帖数: 2893 | 41 这个人是当时那个report bug后5天就full disclosure的jerk,当年就被人骂个半死。
搞security的鄙视这种人是再正常不过了。
对于这个bug, 他放到github, 原帖还找不到了,然后直接full disclosure, 说实话这
就是为赚眼球不顾及用户利益的。正常程序是要private report, 就象这一次发现的
android问题。 每年MS都会收到很多private bug reports,去看windows update, 会
发现无数security update. 正常的对用户负责的渠道一直是敞开的,放到github他怎
样才能知道MS会去到那里查看?
"Ormandy had first published information about the vulnerability in March to
GitHub in an effort to solicit help or entice other researchers to
investigate. That information no longer appears on GitHub, however."
【在 c*c 的大作中提到】
:
: ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
: 请问你怎么看待windows的那些没有第一时间fix的security bug呢? 人家三月份就报
: 告了,5月底ms还没fix,结果人家怒了,要公开bug了:
: http://www.computerworld.com/s/article/9239477/Google_engineer_
|
n*w
发帖数: 3393 | 42 我曾经以为自己不会有下apk安装的需要.后来为了把手机和nexus 7蓝牙t
ether不得不装了一个apk. |
z*n
发帖数: 2893 | 43 你说的对于其他vendor也适用,hacker也可以没有其他vendor改动后的源码,“编译完
的代码既可以把符号删掉,又可以扰乱代码,再加上优化,连路径都不同,没准还被搞
成二进制代码。 ”
没有任何理由samsung这么搞是保密的,而其他所有vendor同样处理却会泄密。你所说
的GG不fix是为了大家好的理由是十分荒谬的。
master key被搞不fix,竟然理由是系统反正有更容易的方法“拿到有用的数据或者资
源”?!你是不是也太看不上Android了?
至于如何对于这类严重安全隐患patch, 需要看系统设计和开发者解决问题的意愿。比
如你们喜欢对比的XP, 如果有个能绕过数字签名的bug, 全世界XP用户用windows
update都能patch. 这是10几年前Windows就能搞定的事情。
android
【在 f*******5 的大作中提到】
: hacker只会有google的android源码,没有三星改动后的源码。各厂家都是拿回去改完
: 了再编译。尤其三星还是改动特别的多。编译完的代码既可以把符号删掉,又可以扰乱
: 代码,再加上优化,连路径都不同,没准还被搞成二进制代码。你怎么和原版android
: 比。hacker要跳的障碍很多。正经的灰白帽子不会做费力不讨好拿不到credit的事情。
: 我从来不会低估hacker的能力,你要说搞黑产的黑帽子也许有丝毫的机会,这个投入产
: 出完全不值当。playstore现在也查利用这个bug的应用。防守方的一个办法就是让竟进
: 攻方接受不了成本。而盗版的应用,有那么多简单的办法可以拿到有用的数据或者资源
: ,研究这个干嘛。
: btw,我知道有中国专业安全人员研究这个问题,还是处于等blackhat发布的状态。
: 你说说第一时间怎么给所有系统fix?
|
c*c
发帖数: 2983 | 44 蓝牙tether这种apk,人家都懒得去改,要改也要改个popular一点象愤怒的小鸟之类的
,而且估计也没那么容易改apk,那个security 公司只是发现了这个bug,究竟要怎么
改apk,或者改完的apk能不能work还是问题,很多这种security bug只是security
company为了推销自己,实用价值很难衡量
【在 n*w 的大作中提到】
: 我曾经以为自己不会有下apk安装的需要.后来为了把手机和nexus 7蓝牙t
: ether不得不装了一个apk.
|
c*c
发帖数: 2983 | 45
他好像没这么说过吧,他说GG已经有了fix,而且已经通气给samsung, samsung也已经
在S4里fix了。
至于htc之类的,我估计也通过气了,就看htc和carrier的动作了,手机push一个
update没那么容易,carrier自己还要做很多testing
【在 z*n 的大作中提到】
: 你说的对于其他vendor也适用,hacker也可以没有其他vendor改动后的源码,“编译完
: 的代码既可以把符号删掉,又可以扰乱代码,再加上优化,连路径都不同,没准还被搞
: 成二进制代码。 ”
: 没有任何理由samsung这么搞是保密的,而其他所有vendor同样处理却会泄密。你所说
: 的GG不fix是为了大家好的理由是十分荒谬的。
: master key被搞不fix,竟然理由是系统反正有更容易的方法“拿到有用的数据或者资
: 源”?!你是不是也太看不上Android了?
: 至于如何对于这类严重安全隐患patch, 需要看系统设计和开发者解决问题的意愿。比
: 如你们喜欢对比的XP, 如果有个能绕过数字签名的bug, 全世界XP用户用windows
: update都能patch. 这是10几年前Windows就能搞定的事情。
|
g*******t
发帖数: 7704 | 46 windows难道不是任何程序都能安装?没签名一样安装?
难道你还在纠结drive的签名? 这个签名才几年?
如果不是白痴就举出实例来,
adobe
【在 z*n 的大作中提到】
: 说了这么半天,你不会不知道数字签名是干啥的吧? windows应用安装,如果有adobe
: 的签名那保证就是adobe的binary, 这种检查数字签名都能出错的安全问题,太低级了
: 吧? 360这种流氓软件能冒充正经公司的update? 你是不是洗地洗糊涂了?
: “所有的安装程序都能提升权限”,你这就是扯蛋。自己去查UAC是干什么的。
: 没开发过系统程序...认识我的人估计笑翻一片,你恐怕暴露的是自己的白痴。
|
z*n
发帖数: 2893 | 47 你还纠结xp呢?windows安装没有签名的driver需要enable windows test mode, 我估
计不搞这个的人大部分连听说都没听说过。
app安装会显示这个app是谁是verified publisher, 征求你同意以后才安装。系统不会
稀里糊涂的告诉你这安装包是adobe signed, 里面却是流氓软件。 明知是360你自己非
要安装,那就是自己的智商问题了。
你真有精力真不白痴应当和GG进言fix了这初级错误。近5个月了,还没有fix, 洗地的
到很来劲。
【在 g*******t 的大作中提到】
: windows难道不是任何程序都能安装?没签名一样安装?
: 难道你还在纠结drive的签名? 这个签名才几年?
: 如果不是白痴就举出实例来,
:
: adobe
|
z*n
发帖数: 2893 | 48 我是说他那个GG迟迟不fix是为了不泄露这个security hole的说法是荒谬的。
无论如何5个月这么严重的安全漏洞不patch是说不过去的,如果赶上了那个5天full
disclosure的傻X不知道会有啥后果。
【在 c*c 的大作中提到】
:
: 他好像没这么说过吧,他说GG已经有了fix,而且已经通气给samsung, samsung也已经
: 在S4里fix了。
: 至于htc之类的,我估计也通过气了,就看htc和carrier的动作了,手机push一个
: update没那么容易,carrier自己还要做很多testing
|
c**y
发帖数: 2282 | 49 64bit版本的windows需要进test mode
32-bit的版本不需要。
就算需要的,导入一个test certificate也不是难事。
driver需要enable windows test mode, 我估
【在 z*n 的大作中提到】
: 我是说他那个GG迟迟不fix是为了不泄露这个security hole的说法是荒谬的。
: 无论如何5个月这么严重的安全漏洞不patch是说不过去的,如果赶上了那个5天full
: disclosure的傻X不知道会有啥后果。
|
g*******t
发帖数: 7704 | 50 Windows白痴的的地方是,木马不需要什么driver, 360之类都可以正常安装,没有任
何提示偷偷上传数据,
这比android要烂无数倍,
windows搞多少年了,还处于人肉防毒阶段, mac就没这类问题,
【在 z*n 的大作中提到】
: 你还纠结xp呢?windows安装没有签名的driver需要enable windows test mode, 我估
: 计不搞这个的人大部分连听说都没听说过。
: app安装会显示这个app是谁是verified publisher, 征求你同意以后才安装。系统不会
: 稀里糊涂的告诉你这安装包是adobe signed, 里面却是流氓软件。 明知是360你自己非
: 要安装,那就是自己的智商问题了。
: 你真有精力真不白痴应当和GG进言fix了这初级错误。近5个月了,还没有fix, 洗地的
: 到很来劲。
|
|
|
f*******5
发帖数: 10321 | 51 你说说google应该采用什么方式来马上fix这个hole?
【在 z*n 的大作中提到】
: 我是说他那个GG迟迟不fix是为了不泄露这个security hole的说法是荒谬的。
: 无论如何5个月这么严重的安全漏洞不patch是说不过去的,如果赶上了那个5天full
: disclosure的傻X不知道会有啥后果。
|
f*****e
发帖数: 5177 | 52 狗狗跟软软PK呢。关果果屁事。
【在 g*******t 的大作中提到】
: Windows白痴的的地方是,木马不需要什么driver, 360之类都可以正常安装,没有任
: 何提示偷偷上传数据,
: 这比android要烂无数倍,
: windows搞多少年了,还处于人肉防毒阶段, mac就没这类问题,
|
f*******5
发帖数: 10321 | 53
你先搞明白黑客找漏洞的方式好吧,指哪打哪和打哪指哪难度是不一样啊
我没说三星是为了保密,vendor们当然也会泄密,但是出去他们自身的利益,他们有理
由泄密么?我比较认可gg和vender私下打招呼的缓解方式。还是那句话你说个办法让
google能patch所有的系统。
你的理解能力太差了,又在曲解我的意思。我从来没说过没fix。S4不受影响就是说明
有fix,google在干活中。其他的机器你看不到过程状态就一口咬定不fix。连你引用的
文章都不这么说
再也不要说windows搞定什么了好吧。vista一出来就给别人给搞定了http://news.cnet.com/2100-7349_3-6102458.html
win8.1+ie11一出来就被人4年前同样的exploit不加修改给搞定了
【在 z*n 的大作中提到】
: 你说的对于其他vendor也适用,hacker也可以没有其他vendor改动后的源码,“编译完
: 的代码既可以把符号删掉,又可以扰乱代码,再加上优化,连路径都不同,没准还被搞
: 成二进制代码。 ”
: 没有任何理由samsung这么搞是保密的,而其他所有vendor同样处理却会泄密。你所说
: 的GG不fix是为了大家好的理由是十分荒谬的。
: master key被搞不fix,竟然理由是系统反正有更容易的方法“拿到有用的数据或者资
: 源”?!你是不是也太看不上Android了?
: 至于如何对于这类严重安全隐患patch, 需要看系统设计和开发者解决问题的意愿。比
: 如你们喜欢对比的XP, 如果有个能绕过数字签名的bug, 全世界XP用户用windows
: update都能patch. 这是10几年前Windows就能搞定的事情。
|
z*n
发帖数: 2893 | 54 你在扯啥? 所说的是针对你那GG不fix是为了防止hacker知道漏洞在哪里的奇怪言论的
。
Samsung有fix, 如果如你所说可以“编译完的代码既可以把符号删掉,又可以扰乱代码
,再加上优化,连路径都不同,没准还被搞成二进制代码。 ”防止泄露,明显其他
vendor可以做同样的事情防止泄露。迟迟不fix是为了防止hacker知道漏洞明显是荒谬
的。
你在扯啥windows被搞定?如果windows出类似的低级错误,一个windows update大家就
全patch了。 如果Android没有这功能,那是自己的设计问题。上次没有12月系统马上
就patch了,我相信Android不象你说的那么不堪,连xp十几年前就解决的问题都没有办
法。 更大的可能是管生不管养,最新版本也许还有support, 用以前版本的大家就自求
多福吧。
blue pill attack? 你真明白那是怎样工作的? 那个是需要administrator access.
如果有administrator access, 还用的着这么费劲? 可以直接关掉driver数字签名检
查或者进入test mode.
"Wilson pointed out that Rutkowska’s code-signing bypass attack requires
the attacker to start as the machine’s administrator in Vista. “If you’re
running as a standard user, this wouldn’t work,” he noted. “But we’re
still looking at blocking this type of attack.” "
【在 f*******5 的大作中提到】
:
: 你先搞明白黑客找漏洞的方式好吧,指哪打哪和打哪指哪难度是不一样啊
: 我没说三星是为了保密,vendor们当然也会泄密,但是出去他们自身的利益,他们有理
: 由泄密么?我比较认可gg和vender私下打招呼的缓解方式。还是那句话你说个办法让
: google能patch所有的系统。
: 你的理解能力太差了,又在曲解我的意思。我从来没说过没fix。S4不受影响就是说明
: 有fix,google在干活中。其他的机器你看不到过程状态就一口咬定不fix。连你引用的
: 文章都不这么说
: 再也不要说windows搞定什么了好吧。vista一出来就给别人给搞定了http://news.cnet.com/2100-7349_3-6102458.html
: win8.1+ie11一出来就被人4年前同样的exploit不加修改给搞定了
|
z*n
发帖数: 2893 | 55 上次日历没十二月是咋fix的?
如果你非要说Android没有这种patch功能,那应当参考一下N年前就有的windows
update实现一个,要么参考一下ios也行。 Security exploit永远会有,大家吹了半天
mobile payment, 如果这么严重的系统漏洞要>5个月才能patch, 这不就是扯蛋么。
【在 f*******5 的大作中提到】
: 你说说google应该采用什么方式来马上fix这个hole?
|
f*******5
发帖数: 10321 | 56 你还是没说怎么patch啊,给个步骤吧
【在 z*n 的大作中提到】
: 上次日历没十二月是咋fix的?
: 如果你非要说Android没有这种patch功能,那应当参考一下N年前就有的windows
: update实现一个,要么参考一下ios也行。 Security exploit永远会有,大家吹了半天
: mobile payment, 如果这么严重的系统漏洞要>5个月才能patch, 这不就是扯蛋么。
|
f*******5
发帖数: 10321 | 57 因为现在没有exploit in the wild,所以gg的现在做法是可以接受的。
你去看看你们john lambert的推特就知道我说的是什么了
【在 z*n 的大作中提到】
: 你在扯啥? 所说的是针对你那GG不fix是为了防止hacker知道漏洞在哪里的奇怪言论的
: 。
: Samsung有fix, 如果如你所说可以“编译完的代码既可以把符号删掉,又可以扰乱代码
: ,再加上优化,连路径都不同,没准还被搞成二进制代码。 ”防止泄露,明显其他
: vendor可以做同样的事情防止泄露。迟迟不fix是为了防止hacker知道漏洞明显是荒谬
: 的。
: 你在扯啥windows被搞定?如果windows出类似的低级错误,一个windows update大家就
: 全patch了。 如果Android没有这功能,那是自己的设计问题。上次没有12月系统马上
: 就patch了,我相信Android不象你说的那么不堪,连xp十几年前就解决的问题都没有办
: 法。 更大的可能是管生不管养,最新版本也许还有support, 用以前版本的大家就自求
|
z*n
发帖数: 2893 | 58 恐怕白痴的不是windows,任何一个能访问网络的应用都能上传数据。windows上看那个
应用在使用网络很容易啊,你不会不代表系统不支持。
知道360是流氓软件,系统也告诉了你你正在安装的是纯正的360, 你选择了安装...然
后指责系统让360正常安装?
在讨论的这个安全问题是360可以冒充adobe reader骗你安装,这都能洗干净?
【在 g*******t 的大作中提到】
: Windows白痴的的地方是,木马不需要什么driver, 360之类都可以正常安装,没有任
: 何提示偷偷上传数据,
: 这比android要烂无数倍,
: windows搞多少年了,还处于人肉防毒阶段, mac就没这类问题,
|
c*c
发帖数: 2983 | 59 越来越胡搅蛮缠了
没有12月份那个bug只影响jellybean 4.2啊,那个时候只有nexus device才有
jellybean 4.2,一个update就搞定了。
HTC,samsung什么的device都最多4.1,根本不需要patch啊
【在 z*n 的大作中提到】
: 上次日历没十二月是咋fix的?
: 如果你非要说Android没有这种patch功能,那应当参考一下N年前就有的windows
: update实现一个,要么参考一下ios也行。 Security exploit永远会有,大家吹了半天
: mobile payment, 如果这么严重的系统漏洞要>5个月才能patch, 这不就是扯蛋么。
|
f*******5
发帖数: 10321 | 60 attack都是一步一步来的。一个exp从一般用户升到admin,再一个exp从admin装
unsigned code。
【在 z*n 的大作中提到】
: 你在扯啥? 所说的是针对你那GG不fix是为了防止hacker知道漏洞在哪里的奇怪言论的
: 。
: Samsung有fix, 如果如你所说可以“编译完的代码既可以把符号删掉,又可以扰乱代码
: ,再加上优化,连路径都不同,没准还被搞成二进制代码。 ”防止泄露,明显其他
: vendor可以做同样的事情防止泄露。迟迟不fix是为了防止hacker知道漏洞明显是荒谬
: 的。
: 你在扯啥windows被搞定?如果windows出类似的低级错误,一个windows update大家就
: 全patch了。 如果Android没有这功能,那是自己的设计问题。上次没有12月系统马上
: 就patch了,我相信Android不象你说的那么不堪,连xp十几年前就解决的问题都没有办
: 法。 更大的可能是管生不管养,最新版本也许还有support, 用以前版本的大家就自求
|
|
|
z*n
发帖数: 2893 | 61 你是想说Android没有任何办法patch系统安全漏洞,用Android的只能听天由命?
做系统的应当知道发现新的security exploit是常态,如果一个系统连patch安全漏洞
都不支持...
你恐怕这盆脏水泼android泼得有些狠。
【在 c*c 的大作中提到】
: 越来越胡搅蛮缠了
: 没有12月份那个bug只影响jellybean 4.2啊,那个时候只有nexus device才有
: jellybean 4.2,一个update就搞定了。
: HTC,samsung什么的device都最多4.1,根本不需要patch啊
|
z*n
发帖数: 2893 | 62 和你说了有admin access根本不用这么麻烦装unsigned code, 这个常识问题你不要纠
缠了。
【在 f*******5 的大作中提到】
: attack都是一步一步来的。一个exp从一般用户升到admin,再一个exp从admin装
: unsigned code。
|
c*c
发帖数: 2983 | 63 我没说过“Android没有任何办法patch系统安全漏洞”, 我只是说了“12月bug”的问
题。
你这个人是不是有妄想症啊,我就说了一个12月bug的问题,你就联想我说“没办法
patch 安全漏洞”,你这个妄想症比隔壁那个wavelet02有的一拼
【在 z*n 的大作中提到】
: 你是想说Android没有任何办法patch系统安全漏洞,用Android的只能听天由命?
: 做系统的应当知道发现新的security exploit是常态,如果一个系统连patch安全漏洞
: 都不支持...
: 你恐怕这盆脏水泼android泼得有些狠。
|
f*******5
发帖数: 10321 | 64 那为什么微软要改?当时的设计目标显然不是这样的。你不要拿亲7,8来说事
【在 z*n 的大作中提到】
: 和你说了有admin access根本不用这么麻烦装unsigned code, 这个常识问题你不要纠
: 缠了。
|
z*n
发帖数: 2893 | 65 这问题应当留给版上若干给Android洗地的。
这话题偏的越来越有意思,我一个劲的给Android辩护作为一个广泛应用的系统应当有
快速patch安全问题的机制;若干Android饭非要跳出来说android有设计缺陷根本没有
办法patch新发现的安全问题...
如果真没有,参考windows/ios去实现一个是正解。
【在 f*******5 的大作中提到】
: 你还是没说怎么patch啊,给个步骤吧
|
z*n
发帖数: 2893 | 66 我没有评论GG的做法是不是可以或者不可以接受。这明显要看各人对GG的忍耐程度。
我说的是这种问题发现5个月却没有方法广泛patch是够慢的。你还继续引申其实没有任
何办法patch所有用户。
【在 f*******5 的大作中提到】
: 因为现在没有exploit in the wild,所以gg的现在做法是可以接受的。
: 你去看看你们john lambert的推特就知道我说的是什么了
|
z*n
发帖数: 2893 | 67 恐怕你应当看看上下文。
原文是说日历缺12月的问题被马上patch了,这是个正面的例子,可以用相同机制patch
安全漏洞。
你回文说其实那个patch是特例,不能被用来patch这个安全漏洞。那还有没有其他方法
就要看你们GG员工的了。
这都能引申到妄想症...你估计想得有些远了。
【在 c*c 的大作中提到】
: 我没说过“Android没有任何办法patch系统安全漏洞”, 我只是说了“12月bug”的问
: 题。
: 你这个人是不是有妄想症啊,我就说了一个12月bug的问题,你就联想我说“没办法
: patch 安全漏洞”,你这个妄想症比隔壁那个wavelet02有的一拼
|
g*******t
发帖数: 7704 | 68 别人可以指责android,但ms和软毛是没资格, windows永远是最烂的系统, |
z*n
发帖数: 2893 | 69 你让那些被windows搞翻的系统情何以堪啊。
【在 g*******t 的大作中提到】
: 别人可以指责android,但ms和软毛是没资格, windows永远是最烂的系统,
|
c*c
发帖数: 2983 | 70 上下文。。。你又来联想了,我只是回你个帖子,你自己拿上下文去联想,管我屁事。
你逻辑有问题也好,理解能力有问题也好,妄想症也好,总之找个医生看看比较好
patch
【在 z*n 的大作中提到】
: 恐怕你应当看看上下文。
: 原文是说日历缺12月的问题被马上patch了,这是个正面的例子,可以用相同机制patch
: 安全漏洞。
: 你回文说其实那个patch是特例,不能被用来patch这个安全漏洞。那还有没有其他方法
: 就要看你们GG员工的了。
: 这都能引申到妄想症...你估计想得有些远了。
|
|
|
f*******5
发帖数: 10321 | 71 但是你脱离了android的现实,并且无依据的说gg没有给fix。gg在设备商,运营商面前
能做的就是那么多。策略上的改进就是在三星HTC电话上装原装android,这个不是正在
发生么。
【在 z*n 的大作中提到】
: 这问题应当留给版上若干给Android洗地的。
: 这话题偏的越来越有意思,我一个劲的给Android辩护作为一个广泛应用的系统应当有
: 快速patch安全问题的机制;若干Android饭非要跳出来说android有设计缺陷根本没有
: 办法patch新发现的安全问题...
: 如果真没有,参考windows/ios去实现一个是正解。
|
z*n
发帖数: 2893 | 72 奇怪,是你回我的帖子,你不看上下文?你回的那篇明明白白的A或者B两个观点,你回
文说A不对,那不就是选B么?
我其实搞不明白你是逻辑上没搞懂还是理解有问题。
你应当抑制一下往远处想的冲动,否则确实有妄想症嫌疑。
【在 c*c 的大作中提到】
: 上下文。。。你又来联想了,我只是回你个帖子,你自己拿上下文去联想,管我屁事。
: 你逻辑有问题也好,理解能力有问题也好,妄想症也好,总之找个医生看看比较好
:
: patch
|
c*c
发帖数: 2983 | 73 你的世界只有A和B,否定A就是B,否定B就是A,什么狭隘的逻辑思维,你是该去看看医
生了,
【在 z*n 的大作中提到】
: 奇怪,是你回我的帖子,你不看上下文?你回的那篇明明白白的A或者B两个观点,你回
: 文说A不对,那不就是选B么?
: 我其实搞不明白你是逻辑上没搞懂还是理解有问题。
: 你应当抑制一下往远处想的冲动,否则确实有妄想症嫌疑。
|
z*n
发帖数: 2893 | 74 我能不能理解你想说的是其实Android没有办法快速patch严重安全问题?
从用户角度说,谁会管你是那个环节卡住了?2月份发现问题,7月份绝大多数的设备没
有patch, 说个慢字触动了你哪根神经了?
【在 f*******5 的大作中提到】
: 但是你脱离了android的现实,并且无依据的说gg没有给fix。gg在设备商,运营商面前
: 能做的就是那么多。策略上的改进就是在三星HTC电话上装原装android,这个不是正在
: 发生么。
|
z*n
发帖数: 2893 | 75 和你说了要抑制往远想的冲动。
事实是你回的那篇确实是只有A和B,你回文否定A,我回文问你是不是想说B,然后就见
你上了房顶开始骂街。开始往逻辑问题理解能力妄想症方向想。其实我觉得应当看医生
的是你。
我的世界恐怕不止A和B,但那上文里面确实就只有A和B两个观点,要不你冷静冷静回去
翻翻?
【在 c*c 的大作中提到】
: 你的世界只有A和B,否定A就是B,否定B就是A,什么狭隘的逻辑思维,你是该去看看医
: 生了,
|
f*******5
发帖数: 10321 | 76 你说gg不给fix,我说你说的不对不行啊,什么叫触的哪根神经。
【在 z*n 的大作中提到】
: 我能不能理解你想说的是其实Android没有办法快速patch严重安全问题?
: 从用户角度说,谁会管你是那个环节卡住了?2月份发现问题,7月份绝大多数的设备没
: 有patch, 说个慢字触动了你哪根神经了?
|
z*n
发帖数: 2893 | 77 原文在此:
“【 在 zjn (严禁灌水) 的大作中提到: 】
你咋就解读出是GG不给fix? 我一直都是说Android如何如何。 |
c*c
发帖数: 2983 | 78 我否定A就等于我想说B,不是妄想症是什么
比方说:A是zjn很脑残,B是zjn很聪明,那我出来帮你说好话,否定A,但我也没说你
很聪明啊...
你那两个例子,恐怕比我上面那个例子里面的A和B联系更小
A:fix只有少部分nexus device才有12月bug的问题,
B:fix 很多 carrier, oem, android version上面security patch的问题,
【在 z*n 的大作中提到】
: 和你说了要抑制往远想的冲动。
: 事实是你回的那篇确实是只有A和B,你回文否定A,我回文问你是不是想说B,然后就见
: 你上了房顶开始骂街。开始往逻辑问题理解能力妄想症方向想。其实我觉得应当看医生
: 的是你。
: 我的世界恐怕不止A和B,但那上文里面确实就只有A和B两个观点,要不你冷静冷静回去
: 翻翻?
|
f*******5
发帖数: 10321 | 79 最后一句难道不是说_GG_二月份就知道了,到现在还没有fix?
【在 z*n 的大作中提到】
: 原文在此:
: “【 在 zjn (严禁灌水) 的大作中提到: 】
: 你咋就解读出是GG不给fix? 我一直都是说Android如何如何。
|
z*n
发帖数: 2893 | 80 再劝你一下别往远想。
我那回文哪里肯定你就是B了?我只是问你是不是想说B。
你回去翻翻帖子,那过程是:
我说:
A, XXX脑残, B,XXX聪明,
你说:
A不对.
我说:
你难道想说B?
然后你就开始骂街,没冤枉你吧?
如果是事实是不是应当道个歉?有事情说事情,上来就妄想症什么的就过了。
【在 c*c 的大作中提到】
: 我否定A就等于我想说B,不是妄想症是什么
: 比方说:A是zjn很脑残,B是zjn很聪明,那我出来帮你说好话,否定A,但我也没说你
: 很聪明啊...
: 你那两个例子,恐怕比我上面那个例子里面的A和B联系更小
: A:fix只有少部分nexus device才有12月bug的问题,
: B:fix 很多 carrier, oem, android version上面security patch的问题,
|
|
|
z*n
发帖数: 2893 | 81 “【 在 zjn (严禁灌水) 的大作中提到: 】
: 问题从二月份就知道了, 到现在还没有fix, 够慢的. ”
那GG主语恐怕是你自己加的吧?然后你开始扯GG不fix使为了大家好,我开始反驳你这
观点是荒谬的。 这才把GG扯进来。 |
c*c
发帖数: 2983 | 82 说过了,你的例子比起我举的聪明脑残的例子而言,相关性差太多。你的例子好比是
A:zjn是脑残,
B:zjn喜欢吃蒜
我否定了A,然后你问我是不是我mean的是B,这不是妄想症么,不脑残就吃蒜?那你还
是别吃了
【在 z*n 的大作中提到】
: 再劝你一下别往远想。
: 我那回文哪里肯定你就是B了?我只是问你是不是想说B。
: 你回去翻翻帖子,那过程是:
: 我说:
: A, XXX脑残, B,XXX聪明,
: 你说:
: A不对.
: 我说:
: 你难道想说B?
: 然后你就开始骂街,没冤枉你吧?
|
f*******5
发帖数: 10321 | 83 这么矫情太逗了。
bluebox只会秘密报告给google,难道二月份知道这个问题的不是google而是无数设备
商?在看看你紧接着的前一句“GG在国内还不给大家骂死”,你为什么不说android会
被骂死,或者华
为,联想,中兴,酷派,oppo,小米,魅族给骂死。
【在 z*n 的大作中提到】
: “【 在 zjn (严禁灌水) 的大作中提到: 】
: : 问题从二月份就知道了, 到现在还没有fix, 够慢的. ”
: 那GG主语恐怕是你自己加的吧?然后你开始扯GG不fix使为了大家好,我开始反驳你这
: 观点是荒谬的。 这才把GG扯进来。
|
z*n
发帖数: 2893 | 84 你应当先冷静冷静,有事说事,反复人身攻击就没意思了。
如果问问题就是妄想症...恐怕大家都没少问问题。
那上文确实只有两个选择,你否认一个,询问你的观点是不是另一个是很正常的事情。
正常情况下你说不是就完了。因为这个骂街就是纯心找茬。
【在 c*c 的大作中提到】
: 说过了,你的例子比起我举的聪明脑残的例子而言,相关性差太多。你的例子好比是
: A:zjn是脑残,
: B:zjn喜欢吃蒜
: 我否定了A,然后你问我是不是我mean的是B,这不是妄想症么,不脑残就吃蒜?那你还
: 是别吃了
|
z*n
发帖数: 2893 | 85 你其实应当和clc多沟通,你想得有些多了。
再前面有一篇建议只能从google play安装应用,因此有“如果把国内那些app store全
关了,GG不被骂死”的说法。如果Android被设定成只能从google play安装应用,GG在
国内会被人骂死是大实话。
后面那个主语是你给加的,后来说GG holds the fix为了防止泄密也是你先提出的。
【在 f*******5 的大作中提到】
: 这么矫情太逗了。
: bluebox只会秘密报告给google,难道二月份知道这个问题的不是google而是无数设备
: 商?在看看你紧接着的前一句“GG在国内还不给大家骂死”,你为什么不说android会
: 被骂死,或者华
: 为,联想,中兴,酷派,oppo,小米,魅族给骂死。
|
f*******5
发帖数: 10321 | 86 我说的是gg在AOSP不发布fix,fix是发给设备商的好吧。
【在 z*n 的大作中提到】
: 你其实应当和clc多沟通,你想得有些多了。
: 再前面有一篇建议只能从google play安装应用,因此有“如果把国内那些app store全
: 关了,GG不被骂死”的说法。如果Android被设定成只能从google play安装应用,GG在
: 国内会被人骂死是大实话。
: 后面那个主语是你给加的,后来说GG holds the fix为了防止泄密也是你先提出的。
|
f*******5
发帖数: 10321 | 87 那你说那个主语应该是谁啊,谁二月份知道的?
【在 z*n 的大作中提到】
: 你其实应当和clc多沟通,你想得有些多了。
: 再前面有一篇建议只能从google play安装应用,因此有“如果把国内那些app store全
: 关了,GG不被骂死”的说法。如果Android被设定成只能从google play安装应用,GG在
: 国内会被人骂死是大实话。
: 后面那个主语是你给加的,后来说GG holds the fix为了防止泄密也是你先提出的。
|
z*n
发帖数: 2893 | 88 咱们求同存异,不要纠缠文字游戏了。
这些观点你有什么异议?
1,二月份知道问题,现在7月份99%的设备没有fix,有些慢。
是不是GG的责任不是关键,关键是这种严重安全问题用户patch缓慢
2,android作为一个系统,没有快速patch安全问题的机制。这一点不如windows/ios.
【在 f*******5 的大作中提到】
: 我说的是gg在AOSP不发布fix,fix是发给设备商的好吧。
|
z*n
发帖数: 2893 | 89 如果我说“二月份这个问题被知道”,是不是有助于你的理解?
事实是这个问题被report到open headset alliance, 并不是report给GG...
[update]不确定...模糊记得但是那blog说的是gg
【在 f*******5 的大作中提到】
: 那你说那个主语应该是谁啊,谁二月份知道的?
|
f*******5
发帖数: 10321 | 90 OHA难道不就是google做软件?这个bug的号是android 8219321,细节被隐藏。被知道
的途径是bluebox报告啊,很明显知道责任该是谁来改,我加个GG主语有错么?
【在 z*n 的大作中提到】
: 如果我说“二月份这个问题被知道”,是不是有助于你的理解?
: 事实是这个问题被report到open headset alliance, 并不是report给GG...
: [update]不确定...模糊记得但是那blog说的是gg
|
|
|
f*******5
发帖数: 10321 | 91 你这么说我就没问题了,实际上你礼拜五帖子出来我也没回。只不过你后来说的有问题
,我觉得不合理纠正一下。
【在 z*n 的大作中提到】
: 咱们求同存异,不要纠缠文字游戏了。
: 这些观点你有什么异议?
: 1,二月份知道问题,现在7月份99%的设备没有fix,有些慢。
: 是不是GG的责任不是关键,关键是这种严重安全问题用户patch缓慢
: 2,android作为一个系统,没有快速patch安全问题的机制。这一点不如windows/ios.
|
z*n
发帖数: 2893 | 92 我不知道该说你什么。你如果真想玩文字游戏,恐怕我说的话我应当有解释权。
我想说的是从900M用户观点,这个问题二月份被知道/发现/报告,到七月我还没有看到
fix/patch, 这过程有些慢。你有意见么?
你纠缠半天说不是GG责任,有什么意义?Android作为一个整体没有办法快速patch严重
安全问题,你还有什么疑问么?
【在 f*******5 的大作中提到】
: OHA难道不就是google做软件?这个bug的号是android 8219321,细节被隐藏。被知道
: 的途径是bluebox报告啊,很明显知道责任该是谁来改,我加个GG主语有错么?
|
z*n
发帖数: 2893 | 93 你能不能具体说一下你纠正了什么问题?
【在 f*******5 的大作中提到】
: 你这么说我就没问题了,实际上你礼拜五帖子出来我也没回。只不过你后来说的有问题
: ,我觉得不合理纠正一下。
|
f*******5
发帖数: 10321 | 94 我回的第一个帖子就是啊。你不是说没有fix吗。
【在 z*n 的大作中提到】
: 你能不能具体说一下你纠正了什么问题?
|
f*******5
发帖数: 10321 | 95 我跟你争论这些了吗?我是因为’慢‘就触动了什么神经吗?
【在 z*n 的大作中提到】
: 我不知道该说你什么。你如果真想玩文字游戏,恐怕我说的话我应当有解释权。
: 我想说的是从900M用户观点,这个问题二月份被知道/发现/报告,到七月我还没有看到
: fix/patch, 这过程有些慢。你有意见么?
: 你纠缠半天说不是GG责任,有什么意义?Android作为一个整体没有办法快速patch严重
: 安全问题,你还有什么疑问么?
|
z*n
发帖数: 2893 | 96 你第一个回帖在这里:
"
发信人: flatbean5 (亮剑太平), 信区: PDA
标 题: Re: 没有人讨论Android master key exploit?
发信站: BBS 未名空间站 (Sat Jul 6 23:20:10 2013, 美东)
fix早出了,只不过是发给电话厂家。得看厂家的更新。而且兼容性测试也包括测这个
问题,来保证新电话不会有同样问题
【 在 zjn (严禁灌水) 的大作中提到: 】
: 问题从二月份就知道了, 到现在还没有fix, 够慢的.
"
我说到7月了除了S4有fix其他都是裸奔, 你没意见吧? 你非要纠缠这fix卡在了某一个
步骤, 有啥意义?
如果这句话是碰你神经的那句:
"问题从二月份就知道了, 到现在还没有fix, 够慢的".
从用户角度说5个月没有fix是事实, 你自己又说"慢"没有触动你神经,那你究竟在想
说/纠正什么呢?
我是不是可以理解你争论这么多只是想把google择干净,把脏水留给厂家?这又有什么
意义,大家明显在同一条船上,出问题就相互扯皮? |
f*******5
发帖数: 10321 | 97 要不是说你不明白呢,你满脑子想到的就是立场。我真不知道跟一个不是android的用
户和不知道衡量安全风险和步骤的人费口舌干嘛。
正是因为gg明白是和厂家利益捆绑在一起,同时没有利用漏洞的木马发布,(你引用文
叫marginal risk),gg只是给厂家发fix。两个依据,一是S4发行时就带fix,二是CTS
包括对该漏洞的测试,你不会认为gg不会告诉厂家怎么改来通过测试吧。gg要想撇开责
任,直接更新自己的Nexus设备的OS好了,管其他厂家干嘛。这么有影响的事情gg岂会
不明白对名声的影响。
如果现在市面上出现了利用此漏洞的木马应用,对策会是另外一个方向。你自己琢磨去
吧。不要把gg想的跟白痴一样。
【在 z*n 的大作中提到】
: 你第一个回帖在这里:
: "
: 发信人: flatbean5 (亮剑太平), 信区: PDA
: 标 题: Re: 没有人讨论Android master key exploit?
: 发信站: BBS 未名空间站 (Sat Jul 6 23:20:10 2013, 美东)
: fix早出了,只不过是发给电话厂家。得看厂家的更新。而且兼容性测试也包括测这个
: 问题,来保证新电话不会有同样问题
: 【 在 zjn (严禁灌水) 的大作中提到: 】
: : 问题从二月份就知道了, 到现在还没有fix, 够慢的.
: "
|
z*n
发帖数: 2893 | 98 停, 你又开始绕, 我已经和你说了没兴趣和你讨论GG如何如何, 拜托回贴先看贴好不好
?
你所有说的这些都是根据猜测择GG, 能不能放一放?
对于900M用户,"问题从二月份就知道了, 到现在还没有fix, 够慢的.",你究竟被这
句话触动了那根神经?又想纠正什么?
"发信人: zjn (严禁灌水), 信区: PDA
标 题: Re: 没有人讨论Android master key exploit?
发信站: BBS 未名空间站 (Sun Jul 7 22:38:42 2013, 美东)
你第一个回帖在这里:
"
发信人: flatbean5 (亮剑太平), 信区: PDA
标 题: Re: 没有人讨论Android master key exploit?
发信站: BBS 未名空间站 (Sat Jul 6 23:20:10 2013, 美东)
fix早出了,只不过是发给电话厂家。得看厂家的更新。而且兼容性测试也包括测这个
问题,来保证新电话不会有同样问题
【 在 zjn (严禁灌水) 的大作中提到: 】
: 问题从二月份就知道了, 到现在还没有fix, 够慢的.
"
我说到7月了除了S4有fix其他都是裸奔, 你没意见吧? 你非要纠缠这fix卡在了某一个
步骤, 有啥意义?
如果这句话是碰你神经的那句:
"问题从二月份就知道了, 到现在还没有fix, 够慢的".
从用户角度说5个月没有fix是事实, 你自己又说"慢"没有触动你神经,那你究竟在想
说/纠正什么呢?
我是不是可以理解你争论这么多只是想把google择干净,把脏水留给厂家?这又有什么
意义,大家明显在同一条船上,出问题就相互扯皮?
"
CTS |
f*******5
发帖数: 10321 | 99 你说没有fix,我说fix早出了。说几遍看不懂啊。
【在 z*n 的大作中提到】
: 停, 你又开始绕, 我已经和你说了没兴趣和你讨论GG如何如何, 拜托回贴先看贴好不好
: ?
: 你所有说的这些都是根据猜测择GG, 能不能放一放?
: 对于900M用户,"问题从二月份就知道了, 到现在还没有fix, 够慢的.",你究竟被这
: 句话触动了那根神经?又想纠正什么?
: "发信人: zjn (严禁灌水), 信区: PDA
: 标 题: Re: 没有人讨论Android master key exploit?
: 发信站: BBS 未名空间站 (Sun Jul 7 22:38:42 2013, 美东)
: 你第一个回帖在这里:
: "
|
g*****g
发帖数: 34805 | 100 软毛能不能用点脑子,为嘛4.2都出了还有机器用2.3呀?软件更新不由狗控制不知道呀
?行为艺术有点限度好不好? |
|
|
w******x
发帖数: 4396 | 101 狗毛能不能用点脑子?corporate IT更新不跟狗走。我老现在就被迫用2.3的。
【在 g*****g 的大作中提到】
: 软毛能不能用点脑子,为嘛4.2都出了还有机器用2.3呀?软件更新不由狗控制不知道呀
: ?行为艺术有点限度好不好?
|
g*****g
发帖数: 34805 | 102 那就更是了,除非是Nexus的用户机,怪狗狗更新慢,那不是无脑吗。
【在 w******x 的大作中提到】
: 狗毛能不能用点脑子?corporate IT更新不跟狗走。我老现在就被迫用2.3的。
|
w******x
发帖数: 4396 | 103 我不怪狗更新慢,我怪他有这个bug。
【在 g*****g 的大作中提到】
: 那就更是了,除非是Nexus的用户机,怪狗狗更新慢,那不是无脑吗。
|
g*******t
发帖数: 7704 | 104 三爽,LG都是山寨风格, android从来不更新,2.3没戏,
【在 w******x 的大作中提到】
: 狗毛能不能用点脑子?corporate IT更新不跟狗走。我老现在就被迫用2.3的。
|
l*********s
发帖数: 5409 | 105 compared to windows this is non-issue
【在 w******x 的大作中提到】
: 我不怪狗更新慢,我怪他有这个bug。
|
w******x
发帖数: 4396 | 106 no. the difference is that on his/her own volition, any dumbass can mess up
either of the two systems by installing malwares disguised as legit
applications, but windows will give warning (UAC signature) and unpatched
android would not.
【在 l*********s 的大作中提到】
: compared to windows this is non-issue
|
g*****g
发帖数: 34805 | 107 要做软毛也得有点专业精神吧。Android要从playstore之外装东西,第一先得去
setting里把这个check去掉。第二装的时候会再给你一个warning,结果就是90%以上的
用户都不会去装playstore之外的东西。相比之下windows弄个病毒真是太容易了。
up
【在 w******x 的大作中提到】
: no. the difference is that on his/her own volition, any dumbass can mess up
: either of the two systems by installing malwares disguised as legit
: applications, but windows will give warning (UAC signature) and unpatched
: android would not.
|
w******x
发帖数: 4396 | 108 你是真傻还是故意要混淆概念?这个bug是让手机分不清楚羊和披着羊皮的狼。至于你
想吃绵羊山羊还是病羊,两个系统都允许。甚至你要知道是披着羊皮的狼,想吃也没有
问题。但是android这笨狗分不清楚羊和披着羊皮的狼。windows可没这毛病。
这跟“装playstore之外的东西有提示”根本不是一个东西。
【在 g*****g 的大作中提到】
: 要做软毛也得有点专业精神吧。Android要从playstore之外装东西,第一先得去
: setting里把这个check去掉。第二装的时候会再给你一个warning,结果就是90%以上的
: 用户都不会去装playstore之外的东西。相比之下windows弄个病毒真是太容易了。
:
: up
|
n*w
发帖数: 3393 | 109 现在Windows感染病毒/恶意软件的第一途径是 Java applet,其次flash。
如果担心感染病毒的话或者刚染上病毒,赶紧更新这两个plugin,或等Oracle,adobe
出补丁。
【在 l*********s 的大作中提到】
: compared to windows this is non-issue
|
l*********s
发帖数: 5409 | 110 why bother updating when you can disable them for good. Both are useless.
adobe
【在 n*w 的大作中提到】
: 现在Windows感染病毒/恶意软件的第一途径是 Java applet,其次flash。
: 如果担心感染病毒的话或者刚染上病毒,赶紧更新这两个plugin,或等Oracle,adobe
: 出补丁。
|
|
|
g*****g
发帖数: 34805 | 111 是你故意装傻吧,敢问这个巨大的bug造成了多少Android手机中毒?而Windows,是没
有bug一样随便中毒好不好?退一万步,装了个病毒app,Android至少很容易就删掉了
,Windows呢?
【在 w******x 的大作中提到】
: 你是真傻还是故意要混淆概念?这个bug是让手机分不清楚羊和披着羊皮的狼。至于你
: 想吃绵羊山羊还是病羊,两个系统都允许。甚至你要知道是披着羊皮的狼,想吃也没有
: 问题。但是android这笨狗分不清楚羊和披着羊皮的狼。windows可没这毛病。
: 这跟“装playstore之外的东西有提示”根本不是一个东西。
|
m********s
发帖数: 55301 | 112 所以按照好虫的说法,还是果子机最好最安全。
【在 g*****g 的大作中提到】
: 是你故意装傻吧,敢问这个巨大的bug造成了多少Android手机中毒?而Windows,是没
: 有bug一样随便中毒好不好?退一万步,装了个病毒app,Android至少很容易就删掉了
: ,Windows呢?
|
g*****g
发帖数: 34805 | 113 安全上,果子机比Android好没问题。当然,安全和自由是双刃剑。
【在 m********s 的大作中提到】
: 所以按照好虫的说法,还是果子机最好最安全。
|
m********s
发帖数: 55301 | 114 那请问,是windows电脑更自由呢,还是android手机更自由呢?
【在 g*****g 的大作中提到】
: 安全上,果子机比Android好没问题。当然,安全和自由是双刃剑。
|
g*****g
发帖数: 34805 | 115 当然windows更自由,Android基于Linux,通常不给root权限。不root,把机器弄得起
不来基本是不可能的,相比之下windows太容易了。
【在 m********s 的大作中提到】
: 那请问,是windows电脑更自由呢,还是android手机更自由呢?
|
w******x
发帖数: 4396 | 116 刚刚发现的bug能马上造成大面积传播么?开车逆行没被撞死就不SB了是么?
手机有几年的病毒发展时间啊?windows有几年啊?已经有人统计了,windows14年才攒
出来现在android这么多病毒。哪个安全啊?
退一万步,你只从play store里装app,就这还有十分之一的app有malware呢
http://countermeasures.trendmicro.eu/android-malware-believe-the-hype/
【在 g*****g 的大作中提到】
: 是你故意装傻吧,敢问这个巨大的bug造成了多少Android手机中毒?而Windows,是没
: 有bug一样随便中毒好不好?退一万步,装了个病毒app,Android至少很容易就删掉了
: ,Windows呢?
|
m********s
发帖数: 55301 | 117 所以说windows中个毒啥的本来就没啥,因为没有门卫啊。可是那个bug居然能搞倒有层
层门卫把守的android,可见问题的严重性。
当然windows更自由,Android基于Linux,通常不给root权限。不root,把机器弄得起
不来基本是不可能的,相比之下windows太容易了。
【在 g*****g 的大作中提到】
: 当然windows更自由,Android基于Linux,通常不给root权限。不root,把机器弄得起
: 不来基本是不可能的,相比之下windows太容易了。
|
c*c
发帖数: 2983 | 118 malicious跟病毒差距很大...一个app说需要access sms权限,可能就被划归成
malicious了,但可能app并没什么问题
Windows的话每个exe都能访问system, 是不是malicious谁知道啊
android的病毒比windows多,怎么算都不合理。
【在 w******x 的大作中提到】
: 刚刚发现的bug能马上造成大面积传播么?开车逆行没被撞死就不SB了是么?
: 手机有几年的病毒发展时间啊?windows有几年啊?已经有人统计了,windows14年才攒
: 出来现在android这么多病毒。哪个安全啊?
: 退一万步,你只从play store里装app,就这还有十分之一的app有malware呢
: http://countermeasures.trendmicro.eu/android-malware-believe-the-hype/
|
g*****g
发帖数: 34805 | 119 尼玛病毒还有纯以数量算的,成天听到有人windows机器起不来,数据丢了。相比之下
Android你听过多少?敢问你这所谓的malware,被下载过多少次,咋没见统计呀?
病毒都是刚开始才能大面积传播,等久了,是个反病毒软件都知道这病毒了。或者系统
的bug被fix,还发作个屁呀。想做软毛也有点常识好不好。
【在 w******x 的大作中提到】
: 刚刚发现的bug能马上造成大面积传播么?开车逆行没被撞死就不SB了是么?
: 手机有几年的病毒发展时间啊?windows有几年啊?已经有人统计了,windows14年才攒
: 出来现在android这么多病毒。哪个安全啊?
: 退一万步,你只从play store里装app,就这还有十分之一的app有malware呢
: http://countermeasures.trendmicro.eu/android-malware-believe-the-hype/
|
z*n
发帖数: 2893 | 120 机器起不来硬盘还在, 数据怎么会丢?
【在 g*****g 的大作中提到】
: 尼玛病毒还有纯以数量算的,成天听到有人windows机器起不来,数据丢了。相比之下
: Android你听过多少?敢问你这所谓的malware,被下载过多少次,咋没见统计呀?
: 病毒都是刚开始才能大面积传播,等久了,是个反病毒软件都知道这病毒了。或者系统
: 的bug被fix,还发作个屁呀。想做软毛也有点常识好不好。
|
|
|
g*******t
发帖数: 7704 | 121 windows并不自由,windows架构有问题,木马横行,无法杜绝,
论坛上的软毛还鼓吹UAC, 有毛用,一样木马横行,
如果讲自由,linux是最自由,
【在 g*****g 的大作中提到】
: 当然windows更自由,Android基于Linux,通常不给root权限。不root,把机器弄得起
: 不来基本是不可能的,相比之下windows太容易了。
|
g*****g
发帖数: 34805 | 122 病毒写了MBR,C盘数据丢了的例子至少是以千万起记的。
【在 z*n 的大作中提到】
: 机器起不来硬盘还在, 数据怎么会丢?
|
z*n
发帖数: 2893 | 123 你这N毛拍脑袋的毛病又犯了, 要不给个出处? 这"以千万记"哪里得来的数字?
【在 g*****g 的大作中提到】
: 病毒写了MBR,C盘数据丢了的例子至少是以千万起记的。
|
s*********h
发帖数: 6288 | 124 楼上吵的很厉害。
我的观点。既然是bug,就尽快修复。
拖几个月还是不应该。
尤其是这种说出来至少会吓到一堆外行的bug。 |
g*****g
发帖数: 34805 | 125 无知软毛又现形了吧,你小被我老打脸的次数都不计其数了。
http://www.baike.com/wiki/CIH%E7%97%85%E6%AF%92
1999年4月26:CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏
CIH就破坏MBR。
【在 z*n 的大作中提到】
: 你这N毛拍脑袋的毛病又犯了, 要不给个出处? 这"以千万记"哪里得来的数字?
|
g*******t
发帖数: 7704 | 126 都是软毛在黑,
windows一直都比这烂的多,却根没事一样,
【在 s*********h 的大作中提到】
: 楼上吵的很厉害。
: 我的观点。既然是bug,就尽快修复。
: 拖几个月还是不应该。
: 尤其是这种说出来至少会吓到一堆外行的bug。
|
z*n
发帖数: 2893 | 127 CIH? WK, 这是啥年代的事情了, 这病毒连xp都感染不了. 6千万被写了MBR? 那是国内
引用错误, 台湾介绍作者的文章明明写的是6千万感染, 这病毒每年4.26发作, 发作时
才写MBR.
小师弟,我知道你是搞java的, 以后叫你J毛了. 你个J毛拍脑袋毛病还是没改.
【在 g*****g 的大作中提到】
: 无知软毛又现形了吧,你小被我老打脸的次数都不计其数了。
: http://www.baike.com/wiki/CIH%E7%97%85%E6%AF%92
: 1999年4月26:CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏
: CIH就破坏MBR。
|
g*****g
发帖数: 34805 | 128 一夜没睡就想出这脑残借口?那只是一个病毒的一次发作,MBR病毒有无数种,一直到
至少windows 7都还大量存在。我说至少千万用户发作是保守的。看看你们软毛们一个
弱。这个索引就说明windows 7不但能感染MBR病毒,而且还必须recovery disc才能去
掉。
http://www.computerworld.com/s/article/9218062/Microsoft_clarif
Last week, the Microsoft Malware Protection Center (MMPC) highlighted a new
Trojan, dubbed "Popureb," and said that the only way to eradicate the
malware was to use a recovery disc.
【在 z*n 的大作中提到】
: CIH? WK, 这是啥年代的事情了, 这病毒连xp都感染不了. 6千万被写了MBR? 那是国内
: 引用错误, 台湾介绍作者的文章明明写的是6千万感染, 这病毒每年4.26发作, 发作时
: 才写MBR.
: 小师弟,我知道你是搞java的, 以后叫你J毛了. 你个J毛拍脑袋毛病还是没改.
|
pc
发帖数: 1578 | 129 这个不是Trojans吗,属于不小心跑了位置程序的结果吧,和anroid这个直接伪装成
正经app不一回事呀。如果用户非要点的话,属于没得救吧
new
【在 g*****g 的大作中提到】
: 一夜没睡就想出这脑残借口?那只是一个病毒的一次发作,MBR病毒有无数种,一直到
: 至少windows 7都还大量存在。我说至少千万用户发作是保守的。看看你们软毛们一个
: 弱。这个索引就说明windows 7不但能感染MBR病毒,而且还必须recovery disc才能去
: 掉。
: http://www.computerworld.com/s/article/9218062/Microsoft_clarif
: Last week, the Microsoft Malware Protection Center (MMPC) highlighted a new
: Trojan, dubbed "Popureb," and said that the only way to eradicate the
: malware was to use a recovery disc.
|
z*n
发帖数: 2893 | 130 你个J毛在转移话题啊,你说的是上千万丢失硬盘数据,和感染是一个概念?
你能不能正面回答你那个“上千万”用户丢失数据出处在什么地方?
new
【在 g*****g 的大作中提到】
: 一夜没睡就想出这脑残借口?那只是一个病毒的一次发作,MBR病毒有无数种,一直到
: 至少windows 7都还大量存在。我说至少千万用户发作是保守的。看看你们软毛们一个
: 弱。这个索引就说明windows 7不但能感染MBR病毒,而且还必须recovery disc才能去
: 掉。
: http://www.computerworld.com/s/article/9218062/Microsoft_clarif
: Last week, the Microsoft Malware Protection Center (MMPC) highlighted a new
: Trojan, dubbed "Popureb," and said that the only way to eradicate the
: malware was to use a recovery disc.
|
|
|
g*****g
发帖数: 34805 | 131 我还没证明,上面的索引写得清清楚楚6千万用户机器受到不同程度损坏,这还只是一
个病毒的一次发作而已。这多少年下来MBR病毒从来没根除过,我说千万是保守了。做
人不要脸到你这程度真够极品的。
【在 z*n 的大作中提到】
: 你个J毛在转移话题啊,你说的是上千万丢失硬盘数据,和感染是一个概念?
: 你能不能正面回答你那个“上千万”用户丢失数据出处在什么地方?
:
: new
|
f*******5
发帖数: 10321 | 132 要不是微软不给报案子的人钱,还态度不好,这哥们才不会帖出来呢,上个月底微软刚
开始奖金计划,他亏了很多啊。看看这两天的security updates,这个里头的
acknowledgments都是来自他提到的文件
http://technet.microsoft.com/en-us/security/bulletin/ms13-053
。
to
【在 z*n 的大作中提到】
: 这个人是当时那个report bug后5天就full disclosure的jerk,当年就被人骂个半死。
: 搞security的鄙视这种人是再正常不过了。
: 对于这个bug, 他放到github, 原帖还找不到了,然后直接full disclosure, 说实话这
: 就是为赚眼球不顾及用户利益的。正常程序是要private report, 就象这一次发现的
: android问题。 每年MS都会收到很多private bug reports,去看windows update, 会
: 发现无数security update. 正常的对用户负责的渠道一直是敞开的,放到github他怎
: 样才能知道MS会去到那里查看?
: "Ormandy had first published information about the vulnerability in March to
: GitHub in an effort to solicit help or entice other researchers to
: investigate. That information no longer appears on GitHub, however."
|
z*n
发帖数: 2893 | 133 这是个jerk, 而且还是屡教不改的。上次report bug 5天后就full disclosure。
这类为了自己的personal agenda把用户利益放在一旁的应当鄙视。
【在 f*******5 的大作中提到】
: 要不是微软不给报案子的人钱,还态度不好,这哥们才不会帖出来呢,上个月底微软刚
: 开始奖金计划,他亏了很多啊。看看这两天的security updates,这个里头的
: acknowledgments都是来自他提到的文件
: http://technet.microsoft.com/en-us/security/bulletin/ms13-053
:
: 。
: to
|
z*n
发帖数: 2893 | 134 你不至于弱到这个地步吧?自己去查wiki, 6千万的数字是从台湾网站上采访当事者的
文章中出现的, 那是估计的感染数字,CIH发作时写硬盘,这两个怎能一样?
CIH是90年代的病毒,连XP都感染不了,还能翻出来?
windows上你如果有足够权限,写MBR当然是允许的,问题是这木马怎么进入系统的。至
少windows告诉你是adobe签的名,里面不会是360的流氓软件,Android这个都保证不了
,fix需要至少5个月,这两者有啥可比性?
【在 g*****g 的大作中提到】
: 我还没证明,上面的索引写得清清楚楚6千万用户机器受到不同程度损坏,这还只是一
: 个病毒的一次发作而已。这多少年下来MBR病毒从来没根除过,我说千万是保守了。做
: 人不要脸到你这程度真够极品的。
|
g*****g
发帖数: 34805 | 135 又来玩满地打滚了。我老刚才给你翻出一个微软官方关于某MBR病毒的处理,说得明明
白白必须用恢复光盘否则搞不定,11年的,显然是对win7的。
签名顶蛋用,装软件还真有看签名的?我老装过无数的driver,windows给warning说不
能验证签名,但不装设备肯定用不了,你装不装?你也一把年纪了,装啥甲醇。危害是
看结果,不是意淫出来的。CIH的评估是至少10亿美元损失,敢问这个Android的bug损
失是多少?
【在 z*n 的大作中提到】
: 你不至于弱到这个地步吧?自己去查wiki, 6千万的数字是从台湾网站上采访当事者的
: 文章中出现的, 那是估计的感染数字,CIH发作时写硬盘,这两个怎能一样?
: CIH是90年代的病毒,连XP都感染不了,还能翻出来?
: windows上你如果有足够权限,写MBR当然是允许的,问题是这木马怎么进入系统的。至
: 少windows告诉你是adobe签的名,里面不会是360的流氓软件,Android这个都保证不了
: ,fix需要至少5个月,这两者有啥可比性?
|
m********s
发帖数: 55301 | 136 所以,果子机才最安全。
手机用iPhone、台式机用Mac、笔记本用MBA/MBP吧。
总结好虫本楼的评语,对比andoird,果子明显更安全。
又来玩满地打滚了。我老刚才给你翻出一个微软官方关于某MBR病毒的处理,说得明明
白白必须用恢复光盘否则搞不定,11年的,显然是对win7的。签名顶蛋用,装软件还真
有看签名的?我老........
【在 g*****g 的大作中提到】
: 又来玩满地打滚了。我老刚才给你翻出一个微软官方关于某MBR病毒的处理,说得明明
: 白白必须用恢复光盘否则搞不定,11年的,显然是对win7的。
: 签名顶蛋用,装软件还真有看签名的?我老装过无数的driver,windows给warning说不
: 能验证签名,但不装设备肯定用不了,你装不装?你也一把年纪了,装啥甲醇。危害是
: 看结果,不是意淫出来的。CIH的评估是至少10亿美元损失,敢问这个Android的bug损
: 失是多少?
|
z*n
发帖数: 2893 | 137 你扯这么远有啥用? 你能不能给个"C盘数据丢了的例子至少是以千万起记的。"的出处?
和你说呢你那CIH的例子禁不起推敲,那个可能感染的数字出自一台湾小报,6千万已经
是不靠谱了,你直接把可能感染变成了数据丢失...
你能不能停止往别处扯, 给个你不是又拍脑袋编数据的证据?
【在 g*****g 的大作中提到】
: 又来玩满地打滚了。我老刚才给你翻出一个微软官方关于某MBR病毒的处理,说得明明
: 白白必须用恢复光盘否则搞不定,11年的,显然是对win7的。
: 签名顶蛋用,装软件还真有看签名的?我老装过无数的driver,windows给warning说不
: 能验证签名,但不装设备肯定用不了,你装不装?你也一把年纪了,装啥甲醇。危害是
: 看结果,不是意淫出来的。CIH的评估是至少10亿美元损失,敢问这个Android的bug损
: 失是多少?
|
g*****g
发帖数: 34805 | 138 这是所有中英文wiki共同引用的数字,我不靠谱,你找个靠谱的数字大家看看。别光说
不练呀。
你这软毛哪次不是被打脸了就满地打滚。6千万机器被感染,一旦当天开机就发作就要
被写MBR,想想概率都知道千万丢数据是往少里说。这还只是一个病毒的一次发作而已
。我提的是千万起级,包括了历史上所有类似病毒的所有发作。谁让软毛那么弱,到
win7这问题都解决不了,千万级是及其保守的。
尼玛android的bug还没用户感染呢,就出来叫得跟天塌下来似的。也不撒尿照照镜子自
己东家
啥货色,6千万感染没有压力了还。安全不安全是比出来的。你小脸皮最厚,丢了人躲
了一晚上就整出这点说辞,我都不希说你。
处?
【在 z*n 的大作中提到】
: 你扯这么远有啥用? 你能不能给个"C盘数据丢了的例子至少是以千万起记的。"的出处?
: 和你说呢你那CIH的例子禁不起推敲,那个可能感染的数字出自一台湾小报,6千万已经
: 是不靠谱了,你直接把可能感染变成了数据丢失...
: 你能不能停止往别处扯, 给个你不是又拍脑袋编数据的证据?
|
m********s
发帖数: 55301 | 139 说得对,说得对。
就是iPhone最好了,比android好太多了。
赞。
【在 g*****g 的大作中提到】
: 这是所有中英文wiki共同引用的数字,我不靠谱,你找个靠谱的数字大家看看。别光说
: 不练呀。
: 你这软毛哪次不是被打脸了就满地打滚。6千万机器被感染,一旦当天开机就发作就要
: 被写MBR,想想概率都知道千万丢数据是往少里说。这还只是一个病毒的一次发作而已
: 。我提的是千万起级,包括了历史上所有类似病毒的所有发作。谁让软毛那么弱,到
: win7这问题都解决不了,千万级是及其保守的。
: 尼玛android的bug还没用户感染呢,就出来叫得跟天塌下来似的。也不撒尿照照镜子自
: 己东家
: 啥货色,6千万感染没有压力了还。安全不安全是比出来的。你小脸皮最厚,丢了人躲
: 了一晚上就整出这点说辞,我都不希说你。
|
z*n
发帖数: 2893 | 140 你个J毛翻来覆去就是拍脑袋.
"60 million computers were believed to be infected by the virus
internationally"
CIH每年4.26发作, 发作才会写MBR, 不会弱到连CIH是啥都不知道吧?
你的那"上千万"丢失数据的数字从何而来?是不是拍脑袋?
【在 g*****g 的大作中提到】
: 这是所有中英文wiki共同引用的数字,我不靠谱,你找个靠谱的数字大家看看。别光说
: 不练呀。
: 你这软毛哪次不是被打脸了就满地打滚。6千万机器被感染,一旦当天开机就发作就要
: 被写MBR,想想概率都知道千万丢数据是往少里说。这还只是一个病毒的一次发作而已
: 。我提的是千万起级,包括了历史上所有类似病毒的所有发作。谁让软毛那么弱,到
: win7这问题都解决不了,千万级是及其保守的。
: 尼玛android的bug还没用户感染呢,就出来叫得跟天塌下来似的。也不撒尿照照镜子自
: 己东家
: 啥货色,6千万感染没有压力了还。安全不安全是比出来的。你小脸皮最厚,丢了人躲
: 了一晚上就整出这点说辞,我都不希说你。
|
|
|
T****n
发帖数: 6187 | 141 哈哈,那我来黑ios
iPhone安全漏洞高于Android等平台总和四倍
http://tech.163.com/13/0329/04/8R3TVAK1000915BE.html
iPhones most 'vulnerable' among smartphones
http://www.zdnet.com/iphones-most-vulnerable-among-smartphones-
【在 m********s 的大作中提到】
: 所以,果子机才最安全。
: 手机用iPhone、台式机用Mac、笔记本用MBA/MBP吧。
: 总结好虫本楼的评语,对比andoird,果子明显更安全。
:
: 又来玩满地打滚了。我老刚才给你翻出一个微软官方关于某MBR病毒的处理,说得明明
: 白白必须用恢复光盘否则搞不定,11年的,显然是对win7的。签名顶蛋用,装软件还真
: 有看签名的?我老........
|
f*******5
发帖数: 10321 | 142 下个月的usenix security会几个gatech的人讲绕过苹果审查,在appstore上发布恶意
程序,这些程序能后台拍照发微博读imei等。
【在 T****n 的大作中提到】
: 哈哈,那我来黑ios
: iPhone安全漏洞高于Android等平台总和四倍
: http://tech.163.com/13/0329/04/8R3TVAK1000915BE.html
: iPhones most 'vulnerable' among smartphones
: http://www.zdnet.com/iphones-most-vulnerable-among-smartphones-
|
m********s
发帖数: 55301 | 143 本楼第113层,好虫白纸黑字明确指出"安全上,果子机比Android好没问题......"
你敢质疑好虫?小心好虫摆出有效数据剁了你。
【在 T****n 的大作中提到】
: 哈哈,那我来黑ios
: iPhone安全漏洞高于Android等平台总和四倍
: http://tech.163.com/13/0329/04/8R3TVAK1000915BE.html
: iPhones most 'vulnerable' among smartphones
: http://www.zdnet.com/iphones-most-vulnerable-among-smartphones-
|
T****n
发帖数: 6187 | 144 我摆的就是数据。
不过我不会剁人,就是把某些谣言的屁帘子掀起来让大家看清楚。
【在 m********s 的大作中提到】
: 本楼第113层,好虫白纸黑字明确指出"安全上,果子机比Android好没问题......"
: 你敢质疑好虫?小心好虫摆出有效数据剁了你。
|
g*****g
发帖数: 34805 | 145 你这软毛还来,4.26这天1/6机器开机,就千万了。90年代末计算机还新鲜,谁吃饱了
撑一周不开机。就不提公司的机器都是不关的。这只是一个病毒的一次发作。
有无数类似病毒,到win7都没能解决。cih还有变体每个月发作,你又不知道了。
尼玛丢了人就该夹起尾巴做人,死撑有用吗?
【在 z*n 的大作中提到】
: 你个J毛翻来覆去就是拍脑袋.
: "60 million computers were believed to be infected by the virus
: internationally"
: CIH每年4.26发作, 发作才会写MBR, 不会弱到连CIH是啥都不知道吧?
: 你的那"上千万"丢失数据的数字从何而来?是不是拍脑袋?
|
z*n
发帖数: 2893 | 146 你个J毛不扯蛋不痛快? 说你拍脑袋还死撑.
你机器感染病毒还死等发作的那一天? 还1/6?? 继续拍脑袋编数据?
ZDNet 有文章说全美国大约有10K机器发作, 全球54万
"
Among the academic institutions, Notre Dame has at least 130 machines hit,
Boston College students lost data on about 100, and several were downed at
Vanderbilt. "CIH did not have a negligible impact here," wrote Bob Zwaska
with the Office of Information Technologies ate the University of Notre Dame
in a Tuesday e-mail. "
之前各大anti-virus厂家早就有patch, 还专门有kill_cih的程序, 你当大家都象你这
样只知道编数据等着病毒发作?
【在 g*****g 的大作中提到】
: 你这软毛还来,4.26这天1/6机器开机,就千万了。90年代末计算机还新鲜,谁吃饱了
: 撑一周不开机。就不提公司的机器都是不关的。这只是一个病毒的一次发作。
: 有无数类似病毒,到win7都没能解决。cih还有变体每个月发作,你又不知道了。
: 尼玛丢了人就该夹起尾巴做人,死撑有用吗?
|
r****c
发帖数: 2585 | 147 看来还是屁股决定脑袋,zjin从西雅图来的,估计不是微软就是有家属在微软,其他支
持g的估计也差不多,或者是android开发商。所以吵来吵去没什么意思,谁也说服不了
谁 |
