Comments | nlothik: Pwn2Own

nlothik

Pwn2Own

Dec 12, 2022 06:38

Есть такая забава у хакеров, что-то типа Олимпиады, называется Pwn2Own. Собираются разные команды, озвучиваются цели, например, “Ломаем защиту Ворда” или “Хакаем аутентификацию у Микрософт Тимз”. Команды затем подписываются выполнить различного рода задачи, и по общему количеству задач и их сложности получаются очки и зарабатываются места в общем ( Read more... )

программирование, apple, на вентилятор, компьютерное, интересное, ведроид

Leave a comment

Back to all threads

brmail December 12 2022, 14:48:43 UTC

ну или аппл и гугл вежливо попросили не ломать их телефоны.

nlothik December 12 2022, 16:06:18 UTC

Я представляю себе, какой вал говна бы поднялся, если бы это оказалось правдой.

brmail December 12 2022, 16:52:34 UTC

Не обязательно делать это приказным порядком. Достаточно помассировать кошелек. Например так : "Мы не предполагаем оплачивать нахождение уязвимостей, показанных на публичном форуме. Однако, вы можете получить за них деньги, если воспользуетесь обычным порядком - пришлете описание уязвимостей на адрес bla@bla.com"

nlothik December 12 2022, 17:00:56 UTC

В данном случае нахождение дыр оплачивалось ZDI, а не непосредственно вендорами.

Сова трещит уже.

brmail December 12 2022, 17:40:41 UTC

Просто поиск pixel vulnerabilities возвращает 52 ляма результатов. Гугл фиксит критические из них по несколько штук ежемесячно. Поэтому то, что сейчас не показали новых - "потому что нету", для меня звучит странно.

nlothik December 12 2022, 18:07:14 UTC

А для меня нет.

Самсунк, скорее всего, ломали через многочисленные надстройки, которые они рисовали своими шаловливыми ручками, через какой-нибудь Samsung mTower или Samsung TizenRT. А не через дыры в самой ОС Андроид.

Пиксели это же практиццки чистый Ведроид: багов, специфичных конкретно к Пикселю, очень немного.

brmail December 12 2022, 18:39:22 UTC

чистый Ведроид: багов, специфичных конкретно к Пикселю, очень немного
https://tinyurl.com/2paayuus

Не позрься. В декабрьском обновлении андроида попатчили 81 баг. Багов море. Просто большинство из них сложнее чем "взломать за 30 секунд"
И патчат в первую очередь те дыры которые позволяют атаковать через сеть. Те, которые требуют "подержать в руках" годами висят в списках "сделаем потом"

nlothik December 12 2022, 18:41:54 UTC

> Не позрься

Сам сначала почитай первую же ссылку из того, что даёшь, прежде чем лезть с непрошеными советами.

https://9to5google.com/2022/11/27/google-android-vulnerability-mali/

The specific issue that Google’s Project Zero is highlighting this week is a security vulnerability known as CVE-2022-33917. It’s a vulnerability that affects devices using Arm’s Mali GPU, which means it affects Google Pixel, Samsung Galaxy, and countless other Android smartphones.

brmail December 12 2022, 19:18:30 UTC

https://www.bleepingcomputer.com/news/security/android-december-2022-security-updates-fix-81-vulnerabilities/

nlothik December 12 2022, 19:23:32 UTC

Вот и считай. 81 баг в ОС Андроид против только 16, применимых только конкретно к телефонам Пиксель.

Чё, упорстовать будешь?

У тебя Самсунг телефон, что ли? Чего у тебя так подгорает?

brmail December 12 2022, 20:02:48 UTC

типа баги андроида в пикселе не присутствуют?

nlothik December 12 2022, 20:25:52 UTC

Присутствуют.

Но я практически 100% уверен, что Самсунг ломали не через баги в самой ОС Андроид, которые они к тому времени обнаружить пока не сумели или же их было сложно использовать, а через какие-то дополнительные надстройки и сервисы, присущие ТОЛЬКО Самсунгу, и которых в Пикселе нет.

Вот о чём речь-то.

nlothik December 12 2022, 18:51:40 UTC

Ещё раз: Гугл Пиксель работает практически на чистом Андроиде, без надстроек.

Соответственно, баги, которые в нём есть -- затрагивают море других вендоров, и лечёное Гуглом помогает всем остальным.

А вот конкретно такой баг, чтобы был применим ТОЛЬКО к Пикселю, но ни к какому другому телефону на ОС Андроид -- я таких как-то не вижу.

Уже не знаю, как ещё понятнее донести эту вроде несложную мысль.

brmail December 12 2022, 19:20:37 UTC

ничего подобного ты не говорил. Указал что гугл пиксель сидит близко к железу и багов у него нету. Так вот багов у него (у андроида) море. И все из них будут свойственны пикселю. И то что на форуме в этом году не ломали пиксели - это не из за отсутствия там багов.

nlothik December 12 2022, 19:21:28 UTC

> багов у него нету

Я не знаю, как продолжать дискуссию с человеком, который мне приписывает свои мысли.

bref_1 December 13 2022, 05:23:30 UTC

"Не взялась ломать" и "не смогла сломать" - две большие разницы.

Примерно как "не смог трахнуть жырную вонючую феминистку" и "не стал даже подходить к жырной вонючей феминистке"

Вроде взрослый человек, пора же понимать нелепость сравнений после слов "не взялась ломать".

Back to all threads